从 2015 年 5 月 14 日 http/2 协议正式版的发布到现在已经快有一年了,越来越多的网站部署了 http2,http2 的广泛应用带来了更好的浏览体验,只要是 modern 浏览器都支持,所以部署 http2 并不会带来太多困扰。
虽然 h2 有 h2c (http/2 cleartext) 可以通过非加密通道传输,但是支持的浏览器初期还是比较少的,所以目前部署 h2 还是需要走加密的,不过由于 let’s encrypt 大力推行免费证书和证书的廉价化,部署 h2 的成本并不高。
http 2.0即超文本传输协议 2.0,是下一代http协议。是由互联网工程任务组(ietf)的hypertext transfer protocol bis (httpbis)工作小组进行开发。是自1999年http1.1发布后的首个更新。
http/2 协议是从 spdy 演变而来,spdy 已经完成了使命并很快就会退出历史舞台(例如 chrome 将在「2016 年初结束对 spdy 的支持」;nginx、apache 也已经全面支持 http/2 ,并也不再支持 spdy)。
一般的大家把 http2 简称为 h2,尽管有些朋友可能不怎么愿意,但是这个简称已经默认化了,特别是体现在浏览器对 http2 都是这个简写的。
普通的 https 网站浏览会比 http 网站稍微慢一些,因为需要处理加密任务,而配置了 h2 的 https,在低延时的情况下速度会比 http 更快更稳定!
现在电信劫持事件频发,网站部署了 https 加密后可以杜绝大部分劫持,但不是完全。像电子商务行业对 https 加密可是标配啊,因此部署 h2 更是势在必行。
这里是 免费和便宜 ssl 证书介绍 ,大家可以从这里购买或者申请免费的 ssl 证书,免得 chrome 弹出红色的页面令人不悦,从而拒绝了大多数访客。
默认编译的 nginx 并不包含 h2 模块,我们需要加入参数来编译,截止发文,nginx 1.9 开发版及以上版本源码需要自己加入编译参数,从软件源仓库下载的则默认编译。 tengine 可以同时部署 h2 和 spdy 保证兼容性,nginx 则是一刀切不再支持 spdy。
如果你编译的 nginx 不支持,那么在 <code>./configure</code> 中加入:<code>--with-http_v2_module</code> ,如果没有 ssl 支持,还需要加入 <code>--with-http_ssl_module</code>
然后 <code>make && make install</code> 即可。
主要是配置 nginx 的 <code>server</code> 块, 。
修改相关虚拟机的 <code>.conf</code> 文件,一般在 <code>/usr/local/nginx/conf/vhost/</code> 或者 <code>/etc/nginx/conf/</code>,具体参考你的环境指导,不懂请回复。
注:将 <code>server_name www.mf8.biz;</code> 中的 <code>www.mf8.biz</code> 替换为你的域名。
然后通过 <code>/usr/local/nginx/sbin/nginx -t</code> 或者 <code>nginx -t</code> 来检测是否配置正确,然后重启 nginx ,即可。
在 chrome 浏览器上可以通过,http/2 and spdy indicator 来检验,如果地址栏出现蓝色的闪电就是 h2
也可以在 chrome://net-internals/#http2 中检查。注意版本要新,姿势要帅!
大家都知道去年的心血漏洞将 ssl 推到了风口浪尖,所以单单支持了 h2 ,我们任然需要对 ssl 做一些安全的优化!
配置赫尔曼密钥
禁止不安全的 ssl 协议,使用安全协议
<code>ssl_protocols tlsv1 tlsv1.1 tlsv1.2;</code>
禁止已经不安全的加密算法
<code>ssl_ciphers 'ecdhe-rsa-aes256-gcm-sha384:ecdhe-rsa-aes128-gcm-sha256:dhe-rsa-aes256-gcm-sha384:dhe-rsa-aes128-gcm-sha256:ecdhe-rsa-aes256-sha384:ecdhe-rsa-aes128-sha256:ecdhe-rsa-aes256-sha:ecdhe-rsa-aes128-sha:dhe-rsa-aes256-sha256:dhe-rsa-aes128-sha256:dhe-rsa-aes256-sha:dhe-rsa-aes128-sha:ecdhe-rsa-des-cbc3-sha:edh-rsa-des-cbc3-sha:aes256-gcm-sha384:aes128-gcm-sha256:aes256-sha256:aes128-sha256:aes256-sha:aes128-sha:des-cbc3-sha:high:!anull:!enull:!export:!camellia:!des:!md5:!psk:!rc4';</code>
缓解 beast 攻击
server {
listen 80;
add_header strict-transport-security max-age=15768000;
return 301 https://www.yourwebsite.com$request_uri;
}
ssl_session_cache shared:ssl:20m;
ssl_session_timeout 60m;
ssl_stapling on;
ssl_stapling_verify on;
ssl_trusted_certificate /etc/nginx/cert/trustchain.crt;
resolver 233.5.5.5 233.6.6.6 valid=300s;
![(Nginx)03_Nginx原理与优化一、Nginx原理二、master-workers机制三、面试题:[图]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)