Jak povolit HTTP/2 na serveru Plesk

Plesk má nativní podporu HTTP/2. Proces jeho nasazení vyžaduje pečlivé plánování, i když zavedení HTTP/2 na Plesk je mnohem jednodušší ve srovnání s jinými ovládacími panely. Tato příručka platí pro různé operační systémy. Zde uvedené kroky budou fungovat, pokud máte dostatečné verze Plesk a OpenSSL. Tyto požadavky popíšu v „Kroku 1: Kontrola požadavků“.

Měli byste vzít v úvahu, že mnoho prohlížečů bude pro váš web podporovat HTTP/2 pouze v případě, že používáte certifikát SSL. Pokud není použit certifikát SSL, obsah nebude poskytován přes HTTP/2. Naštěstí existuje mnoho způsobů, jak získat certifikát SSL. Pokud máte zájem o získání certifikátu Let's Encrypt, podívejte se na tento průvodce vytvořením certifikátu na Plesku: Let's Encrypt on Plesk .

I když je velká šance, že dokážete povolit HTTP/2, aniž by si toho vaši uživatelé nebo návštěvníci všimli (a bez jakýchkoli prostojů), měli byste tuto údržbu oznámit. V případě, že vaše šifrovací sada SSL nebyla správně nakonfigurována, může dojít k výpadku. Naštěstí je velmi snadné vrátit změny pomocí vestavěného nástroje Plesk.

Měli byste si být naprosto jisti, že v konfiguračních souborech nebyly provedeny žádné přímé změny, protože některé konfigurační soubory přepíšeme. V případě, že jste změny provedli výhradně pomocí podporovaných metod (ve vlastních souborech), se však nemusíte ničeho obávat.

Pokud je to možné, měli byste spustit další cloudový server Vultr s jednoduchou instalací Plesk a provést příkaz(y) níže. Poté můžete na základě jeho úspěchu (nebo neúspěchu) podniknout kroky k okamžitému ladění a/nebo vyřešení jakýchkoli problémů, které by mohly nastat v budoucích nasazeních HTTP/2 na aktuálně používaných produkčních serverech.

Povolení HTTP/2

Krok 1: Kontrola požadavků

Ihned po vybalení můžete povolit podporu HTTP/2 pro reverzní proxy server, který byl nasazen Plesk. V případě, že si nejste jisti, zda váš server používá reverzní proxy, měli byste zkontrolovat "Monitor služby". Pokud tam vidíte seznam Apache i Nginx, je bezpečné předpokládat, že vaše instalace aktuálně používá reverzní proxy. Pokud vidíte pouze Apache nebo pouze Nginx, budete s největší pravděpodobností používat jeden webový server.

V jádru je jeden konkrétní požadavek, který je absolutně nezbytný pro fungování HTTP/2, což je verze OpenSSL s podporou ALPN.

Pokud však máte nainstalovaný Plesk verze 12.5.30 nebo vyšší na CentOS / RHEL 7, Ubuntu 14.04, Debian 8 nebo vyšší, Nginx je nasazen s podporou ALPN již z krabice.

Pokud máte starší verzi Plesk nebo operačního systému, můžete upgradovat některé balíčky. Toto však nepodporuji ani nedokumentuji. Tyto verze a operační systémy jsou velmi staré a nejlepším postupem by bylo je aktualizovat. Zvažte také bezpečnostní rizika používání zastaralého softwaru.

Neexistuje žádný dokument výslovně uvádějící, které operační systémy a verze jsou kompatibilní s HTTP/2 na Plesku; pokud však používáte nejnovější verzi (v době vydání této příručky), měli byste požadavky splňovat. Můžete s jistotou předpokládat, že starší operační systémy jako CentOS / RHEL 5 nebudou kompatibilní.

Kromě požadavků na verzi OpenSSL si všimněte, že Apache nemusí být nutně kompatibilní také s HTTP/2. Podpora HTTP/2 pro Apache je k dispozici od verze 2.4.17, ale v případě, že používáte reverzní proxy (což je výchozí nastavení v Plesku), musí vám stačit pouze verze Nginx. Backendový server, Apache, by nemusel být kompatibilní. Můžete se obrátit na "Správce služeb" v Plesku, abyste se ujistili, že používáte reverzní proxy. Když je tam uveden Nginx, je bezpečné předpokládat, že Apache a Nginx jsou nainstalovány jako reverzní nastavení proxy, kde Nginx funguje jako frontend server.

Následující příkaz ukazuje, zda byl Nginx aktivován nebo ne.

/usr/local/psa/admin/bin/nginxmng -s

Pro OpenSSL byste měli mít verzi alespoň 1.0.1. Můžete zkontrolovat pomocí následujícího příkazu:

rpm -qa | grep openssl

Tím se vytiskne verze podobná:

openssl-1.0.1e-42.el6_7.4.x86_64

Pokud verze OpenSSL není rovna nebo vyšší než 1.0.1, měli byste aktualizovat svůj operační systém. Plesk nasazený na novějších operačních systémech bude využívat OpenSSL 1.0.1 hned po vybalení.

Krok 2: Povolení HTTP/2 v Plesku

V závislosti na použitém operačním systému povolte HTTP/2 pomocí http2_prefnástroje. Tento příkaz by měl být spuštěn jako root.

Povolení HTTP/2 na CentOS / RHEL

Vykonat: /usr/local/psa/bin/http2_pref enable

Povolení HTTP/2 na Ubuntu / Debian

Vykonat: /opt/psa/bin/http2_pref enable

Krok 3: Vylepšete šifrovací sadu

Použití dobré šifrovací sady je neuvěřitelně důležité pro zabezpečení. Podpora zastaralých protokolů účinně potlačí účinek vašich bezpečnostních opatření. Ujistěte se, že jste upravili dostupné protokoly a dostupné verze TLS pomocí vestavěného nástroje Plesk sslmng.

Například povolení následujících šifer a verzí TLS zajistí kompatibilitu s HTTP/2. Pokud si nejste jisti, jaké šifry a verze byste měli povolit, držte se následujících nastavení:

plesk sbin sslmng --services=nginx --custom --ciphers="EECDH+AESGCM+AES128:EECDH+AESGCM+AES256:EECDH+CHACHA20:EDH+AESGCM+AES128:EDH+AESGCM+AES256:EDH+CHACHA20" --protocols="TLSv1 TLSv1.1 TLSv1.2"

Tento příkaz upravuje /etc/nginx/conf.d/ssl.conf. Tento soubor můžete upravit přímo, ale pomocí příkazu uvedeného výše zůstanou změny v aktualizacích Plesk zachovány.

Chcete-li získat „dokonalé dopředné utajení“ pomocí jiné sady šifer, můžete vyzkoušet následující šifry:

ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:RSA+AESGCM:RSA+AES:!aNULL:!MD5:!DSS

K dispozici je mnoho šifrovacích sad a měli byste si vybrat tu, která nejlépe vyhovuje vašim potřebám. Měli byste se obrátit na web, jako je Cipherli.st , abyste získali šifrovací sadu, která vyhovuje vašim potřebám. Po zadání v sslmngnástroji bude šifrovací sada okamžitě použita.

Chcete-li zkontrolovat podporu TLS vašeho prohlížeče jako klienta, použijte nástroj Qualys SSL . Pokud nepovolíte dostatečné množství šifer nebo verzí TLS, některé webové stránky se mohou stát nedostupnými.

Krok 4: Kontrola kompatibility HTTP/2

Po povolení HTTP/2 byste měli zkontrolovat, zda jsou vaše webové stránky a webový server dostupné přes HTTP/2. Existuje na to velmi šikovný webový nástroj: HTTP/2 Test .

Chcete-li získat přesný výsledek, ujistěte se, že jste zakázali všechny reverzní proxy umístěné před vaším serverem. Pokud například používáte CDN, které nepodporuje HTTP/2, testovací nástroj vrátí, že váš web nepodporuje HTTP/2, i když je úspěšně povolen na úrovni serveru. Stejně jako naopak: pokud máte před webem reverzní proxy, jako je Cloudflare (který podporuje HTTP/2), nástroj vždy vrátí HTTP/2 jako povolený a funkční, bez ohledu na jeho funkčnost na úrovni serveru. .

Pokud některé prohlížeče po povolení HTTP/2 odmítají načíst vaše webové stránky nebo poskytovat jakýkoli obsah z vašeho webového serveru, měli byste analyzovat nastavení SSL pomocí nástroje SSL společnosti Qualys .

(Volitelné) Vrácení konfigurace HTTP/2

V případě potřeby, pokud potřebujete čas na ladění, můžete (dočasně) zakázat HTTP/2 jednoduše provedením příkazu níže. Jakmile budete chtít HTTP/2 znovu povolit, jednoduše spusťte příkaz pro jeho aktivaci a zkuste se znovu dostat na kterýkoli z vašich webů. Neexistuje žádný způsob, jak povolit nebo zakázat HTTP/2 pro konkrétní domény nebo webové stránky; je to nastavení pro celý server.

Zakázání HTTP/2 na CentOS / RHEL

Vykonat: /usr/local/psa/bin/http2_pref disable

Zakázání HTTP/2 na Ubuntu / Debian

Vykonat: /opt/psa/bin/http2_pref disable

Odstraňování problémů

Vzhledem k mnoha součástem serveru, které se podílejí na povolení HTTP/2, může být v některých případech nutné odstraňovat problémy, když se webové stránky po aktivaci podpory HTTP/2 nenačítají správně nebo se nenačítají vůbec.

Poznámka: Ujistěte se, že http2_prefpři provádění těchto kroků nevypínáte podporu HTTP/2 pomocí tohoto nástroje.

Zkontrolujte požadavky

Nejprve se ujistěte, že splňujete požadavky uvedené na začátku tohoto článku.

Znovu vytvořte konfiguraci Nginx

Pokud splňujete požadavky pro HTTP/2, můžete se pokusit znovu vytvořit konfigurační soubory Nginx. Měli byste vědět, že tím odstraníte veškeré vlastní konfigurace, proto si předem vytvořte zálohu konfiguračního adresáře Nginx. Protože konfigurační soubory mohou být rozmístěny po celém serveru, je lepší jednoduše vytvořit snímek nebo zálohu. Poté proveďte tento příkaz:

/usr/local/psa/admin/bin/httpdmng --reconfigure-all

Znovu zkontrolujte šifrovací sadu

Pokud to nebude mít žádný účinek, s největší pravděpodobností za to může šifrovací sada. Proveďte znovu následující příkaz:

plesk sbin sslmng --services=nginx --custom --ciphers="EECDH+AESGCM+AES128:EECDH+AESGCM+AES256:EECDH+CHACHA20:EDH+AESGCM+AES128:EDH+AESGCM+AES256:EDH+CHACHA20" --protocols="TLSv1 TLSv1.1 TLSv1.2"

Chyba v panel.ini

Ujistěte se, že soubor /usr/local/psa/admin/conf/panel.iniobsahuje následující obsah:

[webserver]
nginxHttp2 = true

Pokud to soubor obsahuje, můžete rychle zkontrolovat provedením: cat /usr/local/psa/admin/conf/panel.ini | grep nginxHttp2

Nevrací tento příkaz nic? Pak je soubor s největší pravděpodobností pouze pro čtení, například kvůli chattratributu. Může být přidán, když http2_prefbyl spuštěn příkaz (pro povolení HTTP/2).

Zkontrolujte, zda se používá SSL

Když webová stránka nepoužívá SSL, přejde zpět na HTTP/1.1. Pouze webové stránky využívající SSL budou obsluhovány pomocí HTTP/2. Ujistěte se, že ve všech případech nevynucujete HTTP/2 lokálně, protože to nebude fungovat a není to problém na straně serveru.

Jiné možnosti

Pokud by ani toto nepomohlo, měli byste se poradit s odborníkem Plesk, například na fórech Plesk. V mnoha případech však výše uvedené kroky většinu problémů vyřeší.

Posledním opatřením, které můžete provést, je jednoduše restartovat server. V některých podivných případech to vyřešilo problémy z čistého nebe. Vždy byste však měli být schopni přesně určit problémy, abyste zabránili jejich (náhle) opakování.

Tím můj průvodce končí, děkuji za přečtení.