Com habilitar HTTP/2 en un servidor Plesk

Plesk té suport natiu HTTP/2. El seu procés de desplegament requereix una planificació acurada, tot i que desplegar HTTP/2 a Plesk és molt més fàcil en comparació amb altres panells de control. Aquesta guia s'aplica a una varietat de sistemes operatius. Els passos proporcionats aquí funcionaran sempre que tingueu les versions de Plesk i OpenSSL suficients. Descriuré aquests requisits al "Pas 1: Comprovació dels requisits".

Heu de tenir en compte que molts navegadors només admetran HTTP/2 per al vostre lloc web si feu servir un certificat SSL. Quan no s'utilitza un certificat SSL, el contingut no es publicarà mitjançant HTTP/2. Afortunadament, hi ha moltes maneres d'obtenir un certificat SSL. Si esteu interessats a obtenir un certificat Let's Encrypt, consulteu aquesta guia per crear-ne un a Plesk: Let's Encrypt a Plesk .

Tot i que hi ha moltes possibilitats que pugueu habilitar HTTP/2 sense que els vostres usuaris o visitants ho notin (i sense cap temps d'inactivitat), hauríeu d'anunciar aquest manteniment. En cas que el vostre conjunt de xifratge SSL no s'hagi configurat correctament, podria haver-hi temps d'inactivitat. Afortunadament, és molt fàcil revertir els canvis mitjançant l'eina integrada de Plesk.

Hauríeu d'estar absolutament segur que no hi ha hagut canvis directes als fitxers de configuració, ja que sobreescriurem alguns fitxers de configuració. Tanmateix, no hi ha res de què preocupar-se en cas que hàgiu fet canvis exclusivament mitjançant mètodes admesos (en fitxers personalitzats).

Si és possible, hauríeu d'engegar un altre servidor de núvol Vultr amb una instal·lació senzilla de Plesk i executar les ordres següents. Aleshores, en funció del seu èxit (o fracàs), podeu prendre mesures per depurar i/o resoldre instantàniament qualsevol problema que pugui sorgir en futures implementacions HTTP/2 als servidors de producció que s'utilitzen actualment.

Habilitant HTTP/2

Pas 1: Comprovació dels requisits

Des de la caixa, podeu habilitar el suport HTTP/2 per al servidor intermediari invers que Plesk va desplegar. En cas que no esteu segur de si el vostre servidor utilitza un servidor intermediari invers, hauríeu de comprovar el "Monitor de servei". Si veieu Apache i Nginx allà llistats, és segur suposar que la vostra instal·lació està utilitzant actualment un servidor intermediari invers. Si només veieu Apache o només Nginx, el més probable és que utilitzeu un únic servidor web.

Al nucli, hi ha un requisit específic que és absolutament necessari perquè funcioni HTTP/2, que és una versió OpenSSL amb suport ALPN.

Tanmateix, si teniu instal·lada la versió 12.5.30 o superior de Plesk a CentOS / RHEL 7, Ubuntu 14.04, Debian 8 o superior, Nginx es desplega amb suport ALPN de manera immediata.

Si teniu una versió anterior de Plesk o del sistema operatiu, podeu actualitzar alguns paquets. Tanmateix, no ho suporto ni documento. Aquestes versions i sistemes operatius són molt antics i la millor pràctica seria actualitzar-los. Tingueu en compte també els riscos de seguretat d'utilitzar programari obsolet.

No hi ha cap document que indiqui de manera explícita quins sistemes operatius i versions són compatibles amb HTTP/2 a Plesk; tanmateix, si utilitzeu la versió més recent (en el moment en què es va publicar aquesta guia), hauríeu de complir els requisits. Podeu suposar amb seguretat que sistemes operatius antics com CentOS / RHEL 5 no seran compatibles.

A part dels requisits de la versió OpenSSL, tingueu en compte que Apache no necessàriament també ha de ser compatible amb HTTP/2. El suport HTTP/2 per a Apache està disponible des de la versió 2.4.17, però en cas que feu ús d'un servidor intermediari invers (que és la configuració predeterminada a Plesk) només n'ha de ser suficient la versió de Nginx. El servidor de fons, Apache, no hauria de ser compatible. Podeu consultar el "Gestor de serveis" a Plesk per assegurar-vos que esteu utilitzant un servidor intermediari invers. Quan Nginx apareix allà, és segur suposar que Apache i Nginx s'instal·len com a configuració de servidor intermediari invers, on Nginx actua com a servidor frontend.

L'ordre següent mostra si Nginx s'ha activat o no.

/usr/local/psa/admin/bin/nginxmng -s

Per a OpenSSL, hauríeu de tenir la versió 1.0.1 com a mínim. Podeu comprovar amb la següent comanda:

rpm -qa | grep openssl

Això imprimirà una versió similar a:

openssl-1.0.1e-42.el6_7.4.x86_64

Si la versió d'OpenSSL no és igual o superior a 1.0.1, hauríeu d'actualitzar el vostre sistema operatiu. Plesk desplegat en sistemes operatius més nous farà ús d'OpenSSL 1.0.1 de manera immediata.

Pas 2: Habilitant HTTP/2 a Plesk

En funció del sistema operatiu utilitzat, activeu HTTP/2 mitjançant l' http2_prefeina. Aquesta ordre s'ha d'executar com a root.

Habilitant HTTP/2 a CentOS / RHEL

Executar: /usr/local/psa/bin/http2_pref enable

Habilitant HTTP/2 a Ubuntu/Debian

Executar: /opt/psa/bin/http2_pref enable

Pas 3: millora la suite de xifratge

L'ús d'una bona suite de xifratge és increïblement important per a la seguretat. El suport de protocols obsolets derrotarà de manera efectiva l'efecte de les vostres mesures de seguretat. Assegureu-vos d'ajustar els protocols disponibles i les versions TLS disponibles mitjançant l'eina Plesk integrada sslmng.

Per exemple, l'habilitació dels xifrats i versions TLS següents garantirà la compatibilitat amb HTTP/2. Si no esteu segur dels xifrats i les versions que hauríeu d'activar, seguiu la configuració següent:

plesk sbin sslmng --services=nginx --custom --ciphers="EECDH+AESGCM+AES128:EECDH+AESGCM+AES256:EECDH+CHACHA20:EDH+AESGCM+AES128:EDH+AESGCM+AES256:EDH+CHACHA20" --protocols="TLSv1 TLSv1.1 TLSv1.2"

Aquesta comanda modifica /etc/nginx/conf.d/ssl.conf. Podeu modificar aquest fitxer directament, però amb l'ordre esmentada anteriorment es mantindran els canvis a les actualitzacions de Plesk.

Per obtenir "Secret directe perfecte" amb una altra suite de xifratge, podeu provar els xifrats següents:

ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:RSA+AESGCM:RSA+AES:!aNULL:!MD5:!DSS

Hi ha moltes suites de xifrat disponibles i hauríeu de triar la que s'adapti millor a les vostres necessitats. Heu de consultar un lloc web com ara Cipherli.st per tal de reunir una suite de xifratge que s'adapti a les vostres necessitats. En especificar-ho a l' sslmngeina, la suite de xifratge s'utilitzarà a l'instant.

Per comprovar el suport TLS del vostre navegador com a client, utilitzeu l' eina Qualys SSL . Quan no permeteu xifrats o versions TLS suficients, alguns llocs web poden quedar inaccessibles.

Pas 4: Comprovació de la compatibilitat HTTP/2

Després d'habilitar HTTP/2, hauríeu de comprovar si es pot accedir als vostres llocs web i al vostre servidor web mitjançant HTTP/2. Hi ha una eina web molt útil per a això: HTTP/2 Test .

Per obtenir un resultat precís, assegureu-vos d'haver desactivat tots els servidors intermediaris inversos situats davant del vostre servidor. Per exemple, si utilitzeu un CDN que no admet HTTP/2, l'eina de prova tornarà que el vostre lloc web no és compatible amb HTTP/2 encara que s'hagi habilitat correctament a nivell de servidor. Igual que al revés: si teniu un servidor intermediari invers com Cloudflare davant del vostre lloc web (que admet HTTP/2), l'eina sempre retornarà HTTP/2 com a activat i funcionant, independentment de la seva funcionalitat a nivell de servidor. .

Si alguns navegadors es neguen a carregar els vostres llocs web o publicar contingut del vostre servidor web després d'habilitar HTTP/2, hauríeu d'analitzar la vostra configuració SSL amb l'eina SSL de Qualys .

(Opcional) Revertir la configuració HTTP/2

Si cal, si necessiteu temps per depurar, podeu desactivar (temporalment) HTTP/2 simplement executant l'ordre següent. Quan vulgueu tornar a habilitar HTTP/2, només heu d'executar l'ordre per activar-lo i torneu a intentar arribar a qualsevol dels vostres llocs web. No hi ha manera d'activar o desactivar HTTP/2 per a dominis o llocs web específics; és una configuració per a tot el servidor.

Desactivant HTTP/2 a CentOS / RHEL

Executar: /usr/local/psa/bin/http2_pref disable

Desactivant HTTP/2 a Ubuntu/Debian

Executar: /opt/psa/bin/http2_pref disable

Resolució de problemes

Tenint en compte els molts components d'un servidor implicats per habilitar HTTP/2, en alguns casos és possible que hàgiu de resoldre problemes quan els llocs web no es carreguen correctament o no es carreguen del tot després d'activar el suport HTTP/2.

Nota: assegureu-vos de no desactivar el suport HTTP/2 amb l' http2_prefeina quan seguiu aquests passos.

Comprova els requisits

En primer lloc, assegureu-vos de complir els requisits que es descriuen al principi d'aquest article.

Recreeu la configuració de Nginx

Si compliu els requisits per a HTTP/2, podeu intentar recrear els fitxers de configuració de Nginx. Heu de saber que això eliminarà qualsevol configuració personalitzada, així que creeu una còpia de seguretat del directori de configuració de Nginx abans. Com que els fitxers de configuració es poden estendre per tot el servidor, és millor simplement fer una instantània o fer una còpia de seguretat. A continuació, executeu aquesta comanda:

/usr/local/psa/admin/bin/httpdmng --reconfigure-all

Torneu a comprovar la suite de xifratge

Si això tampoc no té cap efecte, el més probable és que la culpa sigui la suite de xifratge. Executeu de nou l'ordre següent:

plesk sbin sslmng --services=nginx --custom --ciphers="EECDH+AESGCM+AES128:EECDH+AESGCM+AES256:EECDH+CHACHA20:EDH+AESGCM+AES128:EDH+AESGCM+AES256:EDH+CHACHA20" --protocols="TLSv1 TLSv1.1 TLSv1.2"

Error en panel.ini

Assegureu-vos que el fitxer /usr/local/psa/admin/conf/panel.inicontingui el contingut següent:

[webserver]
nginxHttp2 = true

Podeu comprovar si el fitxer conté això ràpidament executant: cat /usr/local/psa/admin/conf/panel.ini | grep nginxHttp2

Aquesta ordre no retorna res? Aleshores, el més probable és que el fitxer sigui de només lectura, per exemple a causa d'un chattratribut. És possible que s'hagi afegit quan es http2_prefva executar l' ordre (per habilitar HTTP/2).

Comproveu si s'utilitza SSL

Quan un lloc web no utilitza SSL, tornarà a HTTP/1.1. Només els llocs web que utilitzen SSL es serviran mitjançant HTTP/2. Assegureu-vos que no esteu aplicant HTTP/2 localment en tots els casos, perquè això no funcionarà i no és un problema del servidor.

Altres opcions

Si això tampoc funciona, hauríeu de consultar un expert de Plesk, per exemple als fòrums de Plesk. En molts casos, però, els passos anteriors solucionaran la majoria dels problemes.

Una darrera mesura que podeu prendre és simplement reiniciar el servidor. En alguns casos estranys, això ha solucionat problemes de manera inesperada. Tanmateix, sempre hauríeu de poder identificar els problemes per evitar que tornin a passar (de sobte).

Amb això conclou la meva guia, gràcies per llegir-lo.