Cara Mengaktifkan HTTP / 2 di Server Plesk

• Mengaktifkan HTTP / 2
• Penyelesaian masalah

Plesk memiliki dukungan HTTP / 2 asli. Proses penyebarannya membutuhkan perencanaan yang cermat, meskipun meluncurkan HTTP / 2 di Plesk jauh lebih mudah dibandingkan dengan panel kontrol lainnya. Panduan ini berlaku untuk berbagai sistem operasi. Langkah-langkah yang disediakan di sini akan berfungsi selama Anda memiliki versi Plesk dan OpenSSL yang memadai. Saya akan menjelaskan persyaratan ini dalam "Langkah 1: Memeriksa persyaratan".

Anda harus mempertimbangkan bahwa banyak browser hanya akan mendukung HTTP / 2 untuk situs web Anda jika Anda menggunakan sertifikat SSL. Ketika sertifikat SSL tidak digunakan, konten tidak akan disajikan melalui HTTP / 2. Untungnya, ada banyak cara untuk mendapatkan sertifikat SSL. Jika Anda tertarik untuk mendapatkan sertifikat Let's Encrypt, lihat panduan ini untuk membuatnya di Plesk: Let's Encrypt on Plesk .

Meskipun ada peluang bagus Anda dapat mengaktifkan HTTP / 2 tanpa pengguna atau pengunjung memperhatikannya (dan tanpa downtime), Anda harus mengumumkan pemeliharaan ini. Jika suite sandi SSL Anda belum dikonfigurasi dengan benar, mungkin ada beberapa downtime. Untungnya, sangat mudah untuk mengembalikan perubahan menggunakan alat bawaan Plesk.

Anda harus benar-benar yakin bahwa tidak ada perubahan langsung pada file konfigurasi, karena kami akan menimpa beberapa file konfigurasi. Tidak ada yang perlu dikhawatirkan jika Anda secara eksklusif membuat perubahan menggunakan metode yang didukung (dalam file khusus).

Jika memungkinkan, Anda harus memutar server cloud Vultr lain dengan instalasi Plesk biasa dan menjalankan perintah di bawah ini. Kemudian, berdasarkan keberhasilannya (atau kegagalannya), Anda dapat mengambil langkah-langkah untuk secara instan men-debug dan / atau menyelesaikan masalah apa pun yang mungkin muncul dalam penggunaan HTTP / 2 di masa mendatang pada server produksi yang sedang digunakan.

Mengaktifkan HTTP / 2

Langkah 1: Memeriksa persyaratan

Out-of-the-box, Anda dapat mengaktifkan dukungan HTTP / 2 untuk proxy terbalik yang digunakan Plesk. Jika Anda tidak yakin apakah server Anda menggunakan proxy terbalik, Anda harus memeriksa "Layanan Monitor". Jika Anda melihat Apache dan Nginx tercantum di sana, aman untuk menganggap bahwa instalasi Anda saat ini menggunakan proxy terbalik. Jika Anda hanya melihat Apache atau hanya Nginx, kemungkinan besar Anda akan menggunakan server web tunggal.

Pada intinya, ada satu persyaratan khusus yang mutlak diperlukan agar HTTP / 2 berfungsi, yaitu versi OpenSSL dengan dukungan ALPN.

Namun, jika Anda memiliki Plesk versi 12.5.30 atau lebih besar diinstal pada CentOS / RHEL 7, Ubuntu 14.04, Debian 8 atau lebih tinggi, Nginx digunakan dengan dukungan ALPN di luar kotak.

Jika Anda memiliki versi Plesk atau sistem operasi yang lebih lama, Anda dapat memutakhirkan beberapa paket. Namun, saya tidak mendukung atau mendokumentasikan ini. Versi dan sistem operasi ini sudah sangat tua, dan praktik terbaiknya adalah memperbaruinya. Pertimbangkan risiko keamanan menggunakan perangkat lunak yang sudah ketinggalan zaman juga.

Tidak ada dokumen yang secara eksplisit menyatakan sistem dan versi operasi mana yang kompatibel dengan HTTP / 2 di Plesk; namun, jika Anda menggunakan versi terbaru (pada saat panduan ini diterbitkan), Anda harus memenuhi persyaratan. Anda dapat dengan aman berasumsi bahwa sistem operasi lama seperti CentOS / RHEL 5 tidak akan kompatibel.

Selain persyaratan versi OpenSSL, perhatikan bahwa Apache tidak harus kompatibel dengan HTTP / 2 juga. Dukungan HTTP / 2 untuk Apache telah tersedia sejak versi 2.4.17, tetapi jika Anda menggunakan proxy terbalik (yang merupakan pengaturan default di Plesk) hanya versi Nginx yang cukup. Server backend, Apache, tidak harus kompatibel. Anda dapat berkonsultasi dengan "Manajer Layanan" di Plesk untuk memastikan Anda menggunakan proxy terbalik. Ketika Nginx terdaftar di sana, aman untuk menganggap Apache dan Nginx diinstal sebagai penyiapan proxy terbalik di mana Nginx bertindak sebagai server frontend.

Perintah berikut menunjukkan apakah Nginx telah diaktifkan atau tidak.

/usr/local/psa/admin/bin/nginxmng -s

Untuk OpenSSL, Anda harus memiliki versi 1.0.1 setidaknya. Anda dapat memeriksa menggunakan perintah berikut:

rpm -qa | grep openssl

Ini akan mencetak versi yang mirip dengan:

openssl-1.0.1e-42.el6_7.4.x86_64

Jika versi OpenSSL tidak sama dengan atau lebih besar dari 1.0.1, Anda harus memperbarui sistem operasi Anda. Plesk yang digunakan pada sistem operasi yang lebih baru akan menggunakan OpenSSL 1.0.1 di luar kotak.

Langkah 2: Mengaktifkan HTTP / 2 di Plesk

Bergantung pada sistem operasi yang digunakan, aktifkan HTTP / 2 menggunakan http2_prefalat. Perintah ini harus dieksekusi sebagai root.

Mengaktifkan HTTP / 2 di CentOS / RHEL

Menjalankan: /usr/local/psa/bin/http2_pref enable

Mengaktifkan HTTP / 2 di Ubuntu / Debian

Menjalankan: /opt/psa/bin/http2_pref enable

Langkah 3: Tingkatkan paket sandi

Menggunakan cipher suite yang baik sangat penting untuk keamanan. Mendukung protokol yang sudah ketinggalan zaman akan secara efektif mengalahkan efek tindakan keamanan Anda. Pastikan untuk menyesuaikan protokol yang tersedia dan versi TLS yang tersedia menggunakan alat Plesk bawaan sslmng.

Misalnya, mengaktifkan cipher dan versi TLS berikut akan memastikan kompatibilitas dengan HTTP / 2. Jika Anda agak tidak yakin dengan cipher dan versi yang harus Anda aktifkan, maka patuhi pengaturan berikut:

plesk sbin sslmng --services=nginx --custom --ciphers="EECDH+AESGCM+AES128:EECDH+AESGCM+AES256:EECDH+CHACHA20:EDH+AESGCM+AES128:EDH+AESGCM+AES256:EDH+CHACHA20" --protocols="TLSv1 TLSv1.1 TLSv1.2"

Perintah ini memodifikasi /etc/nginx/conf.d/ssl.conf. Anda dapat memodifikasi file ini secara langsung, tetapi menggunakan perintah yang tercantum di atas akan tetap ada perubahan di seluruh pembaruan Plesk.

Untuk mendapatkan "Perfect forward secrecy" menggunakan cipher suite lain, Anda dapat mencoba cipher berikut:

ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:RSA+AESGCM:RSA+AES:!aNULL:!MD5:!DSS

Ada banyak suite sandi yang tersedia, dan Anda harus memilih salah satu yang paling sesuai dengan kebutuhan Anda. Anda harus berkonsultasi dengan situs web seperti Cipherli.st untuk mengumpulkan paket sandi yang sesuai dengan kebutuhan Anda. Dengan menentukannya di sslmngalat, cipher suite akan digunakan secara instan.

Untuk memeriksa dukungan TLS dari browser Anda sebagai klien, gunakan alat Qualys SSL . Ketika Anda tidak mengizinkan cipher yang cukup atau versi TLS, beberapa situs web mungkin menjadi tidak terjangkau.

Langkah 4: Memeriksa kompatibilitas HTTP / 2

Setelah mengaktifkan HTTP / 2, Anda harus memeriksa apakah situs web dan server web Anda dapat dihubungi melalui HTTP / 2. Ada alat berbasis web yang sangat berguna untuk ini: Uji HTTP / 2 .

Untuk mendapatkan hasil yang akurat, pastikan Anda telah menonaktifkan semua proxy terbalik yang terletak di depan server Anda. Misalnya, jika Anda menggunakan CDN yang tidak mendukung HTTP / 2, alat pengujian akan mengembalikan situs web Anda tidak mendukung HTTP / 2 bahkan jika berhasil diaktifkan di tingkat server. Sama seperti sebaliknya: jika Anda memiliki proxy terbalik seperti Cloudflare di depan situs web Anda (yang mendukung HTTP / 2), alat akan selalu mengembalikan HTTP / 2 sebagai yang diaktifkan dan berfungsi, terlepas dari fungsinya pada tingkat server .

Jika beberapa browser menolak memuat situs web Anda atau menayangkan konten apa pun dari server web Anda setelah mengaktifkan HTTP / 2, Anda harus menganalisis pengaturan SSL Anda menggunakan alat SSL Qualys .

(Opsional) Mengembalikan konfigurasi HTTP / 2

Jika perlu, jika Anda perlu waktu untuk debug, Anda dapat (sementara) menonaktifkan HTTP / 2 hanya dengan menjalankan perintah di bawah ini. Setelah Anda ingin mengaktifkan kembali HTTP / 2, cukup jalankan perintah untuk mengaktifkannya dan coba lagi menjangkau situs web Anda. Tidak ada cara untuk mengaktifkan atau menonaktifkan HTTP / 2 untuk domain atau situs web tertentu; ini merupakan pengaturan seluruh server.

Menonaktifkan HTTP / 2 di CentOS / RHEL

Menjalankan: /usr/local/psa/bin/http2_pref disable

Menonaktifkan HTTP / 2 di Ubuntu / Debian

Menjalankan: /opt/psa/bin/http2_pref disable

Penyelesaian masalah

Mengingat banyak komponen server yang terlibat dalam mengaktifkan HTTP / 2, dalam beberapa kasus Anda mungkin perlu memecahkan masalah ketika situs web tidak memuat dengan benar atau tidak sama sekali setelah mengaktifkan dukungan HTTP / 2.

Catatan: pastikan untuk tidak menonaktifkan dukungan HTTP / 2 menggunakan http2_prefalat saat mengikuti langkah-langkah ini.

Periksa persyaratan

Pertama, pastikan Anda memenuhi persyaratan yang diuraikan di awal artikel ini.

Buat kembali konfigurasi Nginx

Jika Anda memenuhi persyaratan untuk HTTP / 2, Anda dapat mencoba membuat ulang file konfigurasi Nginx. Anda harus tahu bahwa ini akan menghapus konfigurasi khusus apa pun, jadi buat cadangan dari direktori konfigurasi Nginx sebelumnya. Karena file konfigurasi dapat menyebar ke seluruh server, lebih baik membuat snapshot atau membuat cadangan. Kemudian, jalankan perintah ini:

/usr/local/psa/admin/bin/httpdmng --reconfigure-all

Periksa kembali paket sandi

Jika itu tidak berpengaruh, kemungkinan besar, cipher suite yang harus disalahkan. Jalankan perintah berikut lagi:

plesk sbin sslmng --services=nginx --custom --ciphers="EECDH+AESGCM+AES128:EECDH+AESGCM+AES256:EECDH+CHACHA20:EDH+AESGCM+AES128:EDH+AESGCM+AES256:EDH+CHACHA20" --protocols="TLSv1 TLSv1.1 TLSv1.2"

Kesalahan dalam panel.ini

Pastikan file /usr/local/psa/admin/conf/panel.iniberisi konten berikut:

[webserver]
nginxHttp2 = true

Anda dapat memeriksa apakah file tersebut berisi ini dengan cepat dengan menjalankan: cat /usr/local/psa/admin/conf/panel.ini | grep nginxHttp2

Apakah perintah ini tidak menghasilkan apa-apa? Maka kemungkinan besar, file tersebut hanya-baca, misalnya karena chattratribut. Itu mungkin telah ditambahkan ketika http2_prefperintah (untuk mengaktifkan HTTP / 2) dieksekusi.

Periksa apakah SSL digunakan

Ketika sebuah situs web tidak menggunakan SSL, itu akan kembali ke HTTP / 1.1. Hanya situs web yang menggunakan SSL yang akan dilayani menggunakan HTTP / 2. Pastikan Anda tidak memberlakukan HTTP / 2 secara lokal dalam semua kasus, karena itu tidak akan berfungsi dan bukan masalah sisi server.

Pilihan lain

Jika ini tidak berhasil, Anda harus berkonsultasi dengan pakar Plesk, misalnya di forum Plesk. Dalam banyak kasus, langkah-langkah di atas akan memperbaiki sebagian besar masalah.

Satu langkah terakhir yang dapat Anda lakukan adalah dengan me-reboot server. Dalam beberapa kasus aneh ini telah memperbaiki masalah secara tiba-tiba. Namun, Anda harus selalu dapat menunjukkan dengan tepat masalah agar tidak terjadi lagi (tiba-tiba).

Itu penutup panduan saya, terima kasih sudah membaca.