本文会介绍一些 Nginx 与 Libressl 一起使用实践经验。
本文所用软件的版本

•     nginx 1.6.0
•     libressl 2.0.0

安装

直接从源码编译LibreSSL，构建过程的输出非常简洁，源码还附带测试用例及提供并行构建支持（见附录）。
 

# 用于构建及安装 libressl 的选项 
 
$ ./configure --prefix=/usr LDFLAGS=-lrt && make check && sudo make install

新安装的 LibreSSL 可替代openssl以相同的方式运行，但要注意：正如 sabotage-linux 的 spencerjohn 和 Gentoo 的 Hanno Böck 所说的那样，用libressl完全替代操作系统中的openssl会很麻烦。[3,4]

LibreSSL 会报告其版本为 LibreSSL 2.0， openssl命令的使用方法与openssl一样：
 

确认了 libressl 能够使用后，我便动手让 nginx 来使用 libressl 。尽管在仍然使用 openssl 0.9.x 的旧系统中，通常我都会静态构建 nginx+openssl 以使最新和最好的 tls 版本可用。第一次尝试，只使用 ./configure --with-openssl=/path/to/libressl 就大错特错了，因为 nginx 已经完全与 openssl 的构建过程融合了：

•     可使用名为./config的脚本来替代./configure(容易解决)
•     openssl 会收集在 .openssl/lib 下的 objects(.obj) 文件和其他文件来链接进二进制文件和库文件，而 libressl 将这些文件分开存放在 crypto/.libs 和 ssl/.libs。

尝试通过手工建立目录层次（.openssl/lib）及根据 libressl 成功构建后出现的错误提示（见下面的错误信息）来复制文件以解决这些问题；在编译 libressl 时，我看到一个类似可以通过使用 LDFLAGS=-lrt 选项来解决问题的错误提示，但在尝试编译nginx并链接到已静态编译过的libressl库时仍然无法修复这个问题（但我依然继续）：
 

下一个尝试是在安装了 libressl 的前提下通过链接到 libressl 的动态库来构建 nginx，最终成功了（完整的nginx ./configure 选项参数见附录）。 运行 nginx-libressl -t 测试成功，并将 /usr/bin/nginx 替换成新的二进制可执行文件和运行 /etc/init.d/nginx restart，更新后的 nginx + libressl 上线了。任何配置文件和 nginx 的 ssl 配置都不需要修改，非常好！

测试

感兴趣并想测试的朋友可以访问： www.mare-system.de，网站从2014-07-12开始运行在 libressl 上。如你发现任何不兼容的问题，请通过 atsecurity@mare-system.de 给我留言。

在各种 Linux 和 Android 的浏览器上测试都没有发现问题；甚至在一台已被遗忘的装有2007年10月发布并已过时的附带 OpenSSL 0.9.8g 19 的 debian 5 上使用像 w3m 这样的控制台浏览器上浏览也没有问题。

在 ssllabs.com 上测试的得分为 A+，成绩与之前的配置一样；在使用了 libressl 后，唯一给出的提示是加密算法 ChaCha20-Poly1305 还处于实验阶段。

做了一个小小的性能测试，结果显示没有什么大问题；LibreSSL 与平均水平相比慢了 4%。原因可能是 openssl 是静态链接到 nginx 的，而 libressl 则是动态链接到 nginx 的，所以会产生更多的资源开销。

纯数字的测试结果：

性能测试方式的一些说明可能在附录中找到。
结论

此法可行。

虽然不建议在这个阶段使用 LibreSSL 来代替 OpenSSL，但我只想测试其可行性。结果证明这是可行的。 从我的测试来看，没有任何功能上或性能的问题，而且只要你找到方法，构建 nginx + libressl 就容易了。依我所见，长期使用 LibreSSL 的好处是：

•     干净的代码
•     更少的漏洞
•     更多人参与

在我撰写本文的时候，我收到新的 LibreSSL 版本发布的消息，新版本解决了一些新的问题。所以，再回头使用 OpenSSL 就显得有点不理智了:

做得好，LibreSSL 团队，再次感谢