퇴사하고 시간이 남은 김에 예전부터 하려고 하던 것 해보는 중. 그래서 여태껏 해보고 싶었던 (호환성이 좀 부족한) 것들을 적용해봤다.
우선 HTTP2 적용. 사용 중인 nginx 설정에 http2를 넣어준 것으로 해결.
server {
listen 443 ssl http2 default_server;
# ...
}그리고 TLS 1.3 적용을 위해서 모질라의 TLS 설정 생성기의 intermediate 설정을 골라서 적용했다. 최신(modern)으로 했더니 TLS 1.3만 사용하는 방식으로 동작하고, 이것 때문에 WordPress의 JetPack 연동 기능이 동작을 안해서 호환성 모드로 갔다. 다만 DHE는 안쓰고 있어 저 페이지에서 만들어준 설정 값 중에서 dhparam 이나 cipher suite 중의 DHE-... 은 제거했다.
마지막으로 ECDSA 인증서 체인 추가. 이건 처음 올렸던 트윗 내용처럼 당장은 어려울 것 같아서 leaf 인증서를 ECDSA 키 발급하는 정도로 마무리. Ubuntu 20.04 기준으로 certbot 패키지 버전이 낮기 때문에(0.40) 이 부분은 python virtualenv에 현재 버전을 설치해서 처리했다. ECDSA 키 발급 자체는 아래와 같이 했다. 갱신은 RSA 키의 경우처럼 certbot renew 명령을 쓰면 된다.
/path/to/venv/bin/certbot certonly \
-w {webroot} \
-d rein.kr -d www.rein.kr \
--cert-name={certname} \
--key-type=ecdsa