Ako povoliť HTTP/2 na serveri Plesk

Plesk má natívnu podporu HTTP/2. Proces jeho nasadenia si vyžaduje starostlivé plánovanie, hoci zavedenie HTTP/2 na Plesk je oveľa jednoduchšie v porovnaní s inými ovládacími panelmi. Táto príručka platí pre rôzne operačné systémy. Tu uvedené kroky budú fungovať, pokiaľ máte dostatočné verzie Plesk a OpenSSL. Tieto požiadavky opíšem v časti „Krok 1: Kontrola požiadaviek“.

Mali by ste vziať do úvahy, že veľa prehliadačov bude podporovať HTTP/2 pre váš web iba v prípade, že použijete SSL certifikát. Ak sa nepoužije certifikát SSL, obsah sa nebude poskytovať cez HTTP/2. Našťastie existuje mnoho spôsobov, ako získať certifikát SSL. Ak máte záujem získať certifikát Let's Encrypt, pozrite si túto príručku na vytvorenie certifikátu na Plesku: Let's Encrypt on Plesk .

Aj keď je veľká šanca, že budete môcť povoliť HTTP/2 bez toho, aby si to všimli vaši používatelia alebo návštevníci (a bez akéhokoľvek výpadku), mali by ste túto údržbu oznámiť. V prípade, že váš šifrovací balík SSL nebol správne nakonfigurovaný, môže dôjsť k výpadkom. Našťastie je veľmi jednoduché vrátiť zmeny pomocou vstavaného nástroja Plesk.

Mali by ste si byť úplne istí, že v konfiguračných súboroch neboli vykonané žiadne priame zmeny, pretože niektoré konfiguračné súbory prepíšeme. Nie je sa čoho obávať, ak ste zmeny vykonali výlučne pomocou podporovaných metód (vo vlastných súboroch).

Ak je to možné, mali by ste spustiť ďalší cloudový server Vultr s jednoduchou inštaláciou Plesk a vykonať príkaz(y) nižšie. Potom, na základe jeho úspechu (alebo zlyhania), môžete podniknúť kroky na okamžité odladenie a/alebo vyriešenie akýchkoľvek problémov, ktoré by mohli vzniknúť pri budúcich nasadeniach HTTP/2 na produkčných serveroch, ktoré sa momentálne používajú.

Povolenie HTTP/2

Krok 1: Kontrola požiadaviek

Vopred môžete povoliť podporu HTTP/2 pre reverzný proxy server, ktorý bol nasadený Plesk. V prípade, že si nie ste istí, či váš server používa reverzný proxy, mali by ste skontrolovať "Monitor služby". Ak tam vidíte zoznam Apache aj Nginx, je bezpečné predpokladať, že vaša inštalácia momentálne používa reverzný proxy server. Ak vidíte iba Apache alebo iba Nginx, s najväčšou pravdepodobnosťou používate jeden webový server.

V jadre existuje jedna špecifická požiadavka, ktorá je absolútne potrebná na fungovanie HTTP/2, a to je verzia OpenSSL s podporou ALPN.

Ak však máte nainštalovaný Plesk verzie 12.5.30 alebo vyššej na CentOS / RHEL 7, Ubuntu 14.04, Debian 8 alebo novšom, Nginx je nasadený s podporou ALPN hneď po vybalení.

Ak máte staršiu verziu Plesk alebo operačného systému, môžete upgradovať niektoré balíčky. Toto však nepodporujem a nedokumentujem. Tieto verzie a operačné systémy sú veľmi staré a osvedčeným postupom by bola ich aktualizácia. Zvážte aj bezpečnostné riziká používania zastaraného softvéru.

Neexistuje žiadny dokument, ktorý by výslovne uvádzal, ktoré operačné systémy a verzie sú kompatibilné s HTTP/2 na Plesku; ak však používate najnovšiu verziu (v čase vydania tejto príručky), mali by ste spĺňať požiadavky. Môžete bezpečne predpokladať, že staršie operačné systémy ako CentOS / RHEL 5 nebudú kompatibilné.

Okrem požiadaviek na verziu OpenSSL si uvedomte, že Apache nemusí byť nevyhnutne kompatibilný aj s HTTP/2. Podpora HTTP/2 pre Apache je dostupná od verzie 2.4.17, ale v prípade, že používate reverzný proxy (čo je predvolené nastavenie v Plesku), musí vám stačiť iba verzia Nginx. Backendový server Apache by nemusel byť kompatibilný. Môžete sa obrátiť na "Správcu služieb" v Plesku, aby ste sa uistili, že používate reverzný proxy. Keď je tam uvedený Nginx, je bezpečné predpokladať, že Apache a Nginx sú nainštalované ako reverzné nastavenie proxy, kde Nginx funguje ako frontend server.

Nasledujúci príkaz ukazuje, či bol Nginx aktivovaný alebo nie.

/usr/local/psa/admin/bin/nginxmng -s

Pre OpenSSL by ste mali mať verziu aspoň 1.0.1. Môžete to skontrolovať pomocou nasledujúceho príkazu:

rpm -qa | grep openssl

Týmto sa vytlačí verzia podobná:

openssl-1.0.1e-42.el6_7.4.x86_64

Ak verzia OpenSSL nie je rovnaká alebo väčšia ako 1.0.1, mali by ste aktualizovať svoj operačný systém. Plesk nasadený na novších operačných systémoch bude využívať OpenSSL 1.0.1 hneď po vybalení.

Krok 2: Povolenie HTTP/2 v Plesku

V závislosti od použitého operačného systému povoľte HTTP/2 pomocou http2_prefnástroja. Tento príkaz by mal byť vykonaný ako root.

Povolenie HTTP/2 na CentOS / RHEL

Vykonať: /usr/local/psa/bin/http2_pref enable

Povolenie HTTP/2 na Ubuntu / Debian

Vykonať: /opt/psa/bin/http2_pref enable

Krok 3: Vylepšite šifrovaciu sadu

Používanie dobrého šifrovacieho balíka je neuveriteľne dôležité pre bezpečnosť. Podpora zastaraných protokolov účinne porazí účinok vašich bezpečnostných opatrení. Uistite sa, že ste upravili dostupné protokoly a dostupné verzie TLS pomocou vstavaného nástroja Plesk sslmng.

Napríklad povolenie nasledujúcich šifier a verzií TLS zabezpečí kompatibilitu s HTTP/2. Ak si nie ste istí, aké šifry a verzie by ste mali povoliť, držte sa nasledujúcich nastavení:

plesk sbin sslmng --services=nginx --custom --ciphers="EECDH+AESGCM+AES128:EECDH+AESGCM+AES256:EECDH+CHACHA20:EDH+AESGCM+AES128:EDH+AESGCM+AES256:EDH+CHACHA20" --protocols="TLSv1 TLSv1.1 TLSv1.2"

Tento príkaz upravuje /etc/nginx/conf.d/ssl.conf. Tento súbor môžete upraviť priamo, ale pomocou príkazu uvedeného vyššie sa zmeny zachovajú aj v aktualizáciách Plesk.

Ak chcete získať „dokonalé dopredné utajenie“ pomocou inej sady šifier, môžete vyskúšať nasledujúce šifry:

ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:RSA+AESGCM:RSA+AES:!aNULL:!MD5:!DSS

K dispozícii je veľa šifrovacích sád a mali by ste si vybrať tú, ktorá najlepšie vyhovuje vašim potrebám. Mali by ste sa obrátiť na webovú stránku, ako je Cipherli.st, aby ste získali šifrovací balík, ktorý vyhovuje vašim potrebám. Po jeho zadaní v sslmngnástroji sa šifrovacia súprava použije okamžite.

Ak chcete skontrolovať podporu TLS vášho prehliadača ako klienta, použite nástroj Qualys SSL . Ak nepovolíte dostatočné množstvo šifier alebo verzií TLS, niektoré webové stránky sa môžu stať nedostupnými.

Krok 4: Kontrola kompatibility HTTP/2

Po povolení HTTP/2 by ste mali skontrolovať, či sú vaše webové stránky a webový server dostupné cez HTTP/2. Existuje na to veľmi praktický webový nástroj: HTTP/2 Test .

Ak chcete získať presný výsledok, uistite sa, že ste zakázali všetky spätné servery proxy umiestnené pred serverom. Ak napríklad používate sieť CDN, ktorá nepodporuje HTTP/2, testovací nástroj vráti, že váš web nepodporuje HTTP/2, aj keď je úspešne povolený na úrovni servera. Rovnako ako naopak: ak máte pred webovou stránkou reverzný proxy, ako je Cloudflare (ktorý podporuje HTTP/2), nástroj vždy vráti HTTP/2 ako povolený a funkčný, bez ohľadu na jeho funkčnosť na úrovni servera. .

Ak niektoré prehliadače po povolení HTTP/2 odmietajú načítať vaše webové stránky alebo poskytovať akýkoľvek obsah z vášho webového servera, mali by ste analyzovať svoje nastavenie SSL pomocou nástroja SSL od spoločnosti Qualys .

(Voliteľné) Vrátenie konfigurácie HTTP/2

V prípade potreby, ak potrebujete čas na ladenie, môžete (dočasne) vypnúť HTTP/2 jednoducho vykonaním nižšie uvedeného príkazu. Keď budete chcieť HTTP/2 znova povoliť, jednoducho spustite príkaz na jeho aktiváciu a skúste sa znova dostať na ktorúkoľvek z vašich webových stránok. Neexistuje spôsob, ako povoliť alebo zakázať HTTP/2 pre konkrétne domény alebo webové stránky; je to nastavenie pre celý server.

Zakázanie HTTP/2 na CentOS / RHEL

Vykonať: /usr/local/psa/bin/http2_pref disable

Zakázanie HTTP/2 na Ubuntu / Debian

Vykonať: /opt/psa/bin/http2_pref disable

Riešenie problémov

Vzhľadom na množstvo komponentov servera, ktoré sa podieľajú na povolení HTTP/2, v niektorých prípadoch možno budete musieť riešiť problémy, keď sa webové stránky nenačítavajú správne alebo sa vôbec nenačítavajú po aktivácii podpory HTTP/2.

Poznámka: Pri vykonávaní http2_preftýchto krokov sa uistite, že ste pomocou tohto nástroja nevypli podporu HTTP/2 .

Skontrolujte požiadavky

Najprv sa uistite, že spĺňate požiadavky uvedené na začiatku tohto článku.

Znova vytvorte konfiguráciu Nginx

Ak spĺňate požiadavky pre HTTP/2, môžete sa pokúsiť znova vytvoriť konfiguračné súbory Nginx. Mali by ste vedieť, že sa tým odstránia všetky vlastné konfigurácie, preto si vopred vytvorte zálohu konfiguračného adresára Nginx. Keďže konfiguračné súbory môžu byť rozšírené po celom serveri, je lepšie jednoducho urobiť snímku alebo zálohu. Potom vykonajte tento príkaz:

/usr/local/psa/admin/bin/httpdmng --reconfigure-all

Znova skontrolujte šifrovaciu sadu

Ak to nebude mať žiadny vplyv, s najväčšou pravdepodobnosťou je na vine šifrovacia sada. Znova vykonajte nasledujúci príkaz:

plesk sbin sslmng --services=nginx --custom --ciphers="EECDH+AESGCM+AES128:EECDH+AESGCM+AES256:EECDH+CHACHA20:EDH+AESGCM+AES128:EDH+AESGCM+AES256:EDH+CHACHA20" --protocols="TLSv1 TLSv1.1 TLSv1.2"

Chyba v panel.ini

Uistite sa, že súbor /usr/local/psa/admin/conf/panel.iniobsahuje nasledujúci obsah:

[webserver]
nginxHttp2 = true

Či to súbor obsahuje, môžete rýchlo skontrolovať vykonaním: cat /usr/local/psa/admin/conf/panel.ini | grep nginxHttp2

Nevracia tento príkaz nič? Potom je súbor s najväčšou pravdepodobnosťou iba na čítanie, napríklad kvôli chattratribútu. Možno bol pridaný, keď http2_prefbol vykonaný príkaz (na povolenie HTTP/2).

Skontrolujte, či sa používa SSL

Keď webová lokalita nepoužíva SSL, vráti sa späť na HTTP/1.1. Iba webové stránky využívajúce SSL budú obsluhované pomocou HTTP/2. Uistite sa, že vo všetkých prípadoch nevynucujete HTTP/2 lokálne, pretože to nebude fungovať a nejde o problém na strane servera.

Ďalšie možnosti

Ak by ani toto nefungovalo, mali by ste sa poradiť s odborníkom na Plesk, napríklad na fórach Plesk. V mnohých prípadoch však vyššie uvedené kroky vyriešia väčšinu problémov.

Posledným opatrením, ktoré môžete urobiť, je jednoducho reštartovať server. V niektorých zvláštnych prípadoch to vyriešilo problémy z ničoho nič. Vždy by ste však mali vedieť presne určiť problémy, aby ste zabránili ich (náhle) opakovaniu.

Týmto končím môj návod, ďakujem za prečítanie.