HOME » 更新情報 » KUSANAGI バージョンアップ情報 7.8

KUSANAGI バージョンアップ情報 7.8

KUSANAGI バージョンアップ情報 7.8

KUSANAGI の新しいバージョン 7.8 がご利用いただけるようになりました。各クラウドで、新規にインスタンスを作成した場合は、KUSANAGIの初期設定のyumによるシステムアップデートを行うことによって、自動的に7.8にアップデートされます。
以前のバージョンをお使いいただいている場合は、root権限にて以下のコマンドを実行することで、7.8へのアップデートが可能となります。

# yum update -y kusanagi*

7.8の新機能については以下の通りとなります。

  1. HTTP/2対応
  2. Let's Encrypt の導入
  3. kusanagi コマンドに update cert を追加
  4. 構成ミドルウェア、アプリケーションのバージョンアップ

1. HTTP/2対応

HTTPS通信時において、HTTP/2 での通信が行えるようになりました。
HTTP/2 とは、ブラウザとの通信を多重化し、onloadまでの所要時間を短縮させる新しいプロトコルとなります。

※ HTTP/2 の詳細については、ウィキペディアのHTTP/2をご覧下さい。

※ 7.8以前にプロビジョニングされたサイトについては、7.8にアップデート後のHTTPS通信時もHTTP/2にはなりません。7.8以前にプロビジョニングされたサイトで、HTTP/2を利用する場合は、Webサーバの設定ファイルを以下の通り修正する必要があります。

nginx設定ファイル

/etc/nginx/conf.d/*****_http.conf
※ ***** はプロビジョニング時の設定値

修正前

location ~* /\. {
  deny all;
}

修正後

location ~* /\.well-known/ {
  allow all;
}

location ~* /\. {
  deny all;
}

/etc/nginx/conf.d/*****_ssl.conf
※ ***** はプロビジョニング時の設定値

修正前

location ~* /\. {
  deny all;
}

修正後

location ~* /\.well-known/ {
  allow all;
}
location ~* /\. {
  deny all;
}

修正前

listen 443 ssl;

修正後

listen 443 ssl http2;

修正前

ssl_ciphers HIGH:!aNULL:!MD5;

修正後

ssl_ciphers AESGCM:HIGH:!aNULL:!MD5;

apache設定ファイル

/etc/httpd/conf.d/*****_ssl.conf
※ ***** はプロビジョニング時の設定値

<VirtualHost *:443> 直下に以下を追加

Protocols h2 http/1.1

修正前

SSLProtocol all -SSLv2 -SSLv3
SSLCipherSuite HIGH:MEDIUM:!aNULL:!MD5

修正後

SSLProtocol -All +TLSv1 +TLSv1.1 +TLSv1.2
SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!3DES:!MD5:!PSK

2. Let's Encrypt の導入

無料で利用出来るSSL証明書 Let's Encrypt が利用できるようになりました。プロビジョニング時に入力を求められるメールアドレスを入力することで、Let's Encrypt のSSL証明書を自動的に取得し、設定されるようになります。また、証明書の自動更新設定も合わせて行われるため、取得後は手続きをすることなく継続的に Let's Encrypt SSL証明書を利用できるようになっています。

※ Let's Encrypt の証明書取得・更新は、プロビジョニング時に設定した FQDN でのサーバへのアクセスが可能な状態である必要があります。Basic認証が設定されている場合、および FQDN の DNS が未設定である場合、取得・更新ができなくなりますのでご注意ください。

※ Let's Encrypt のSSL証明書を利用する必要がない場合は、メールアドレスを入力せずに Enter することで、証明書取得プロセスが回避されます。

※ Let's Encrypt のSSL証明書は、ドメイン認証となっています。より強固な認証が必要とされる場合は、企業認証のSSL証明書をご利用ください。

※ Let's Encrypt は、現段階にてベータ版の提供となっています。今後、仕様が変更される可能性があります。

※ Let's Encrypt のSSL証明書取得・更新は、APIを利用しています。このAPIには、時間およびドメインあたりの回数制限があるため、頻繁におこなうと制限される場合があります。

3. kusanagi コマンドに update cert を追加

Let's Encrypt の導入に伴い、kusanagi コマンドに update cert を追加いたしました。

# kusanagi update cert

現在、指定されているターゲットの Let's Encrypt SSL証明書を更新します。

※ 現在のターゲットは、kusanagi target コマンドにて確認できます。

# kusanagi update cert {target}

{target} パラメータで指定された Let's Encrypt SSL証明書を更新します。

4. 構成ミドルウェア、アプリケーションのバージョンアップ

7.8へのバージョンアップにて、構成ミドルウェア、アプリケーションのバージョンを、以下の通りアップデートしております。

Nginx
1.9.10
Apache
2.4.18
HHVM
3.11.0
PHP7
7.0.2
WP-CLI
0.22.0

また、今後、これらのミドルウェア、アプリケーションについては、最新のバージョンが利用いただけるよう、個別にアップデートのリリースを行えるようにする予定です。