Hoe HTTP / 2 op een Plesk-server in te schakelen

• HTTP / 2 inschakelen
• Probleemoplossen

Plesk heeft native HTTP / 2-ondersteuning. Het implementatieproces vereist een zorgvuldige planning, hoewel het uitrollen van HTTP / 2 op Plesk veel eenvoudiger is in vergelijking met andere controlepanelen. Deze handleiding is van toepassing op verschillende besturingssystemen. De hier verstrekte stappen werken zolang u over de voldoende Plesk- en OpenSSL-versies beschikt. Ik zal deze vereisten beschrijven in "Stap 1: Controle van vereisten".

Houd er rekening mee dat veel browsers alleen HTTP / 2 voor uw website ondersteunen als u een SSL-certificaat gebruikt. Als er geen SSL-certificaat wordt gebruikt, wordt de inhoud niet via HTTP / 2 weergegeven. Gelukkig zijn er veel manieren om een ​​SSL-certificaat te verkrijgen. Als je geïnteresseerd bent in het verkrijgen van een Let's Encrypt-certificaat, bekijk dan deze handleiding om er een te maken op Plesk: Let's Encrypt op Plesk .

Ook al is de kans groot dat u HTTP / 2 kunt inschakelen zonder dat uw gebruikers of bezoekers dit opmerken (en zonder enige downtime), toch moet u dit onderhoud aankondigen. Als uw SSL-coderingssuite niet correct is geconfigureerd, kan er wat downtime zijn. Gelukkig is het heel eenvoudig om de wijzigingen ongedaan te maken met de ingebouwde tool van Plesk.

U moet er absoluut zeker van zijn dat er geen directe wijzigingen zijn aangebracht in configuratiebestanden, omdat we sommige configuratiebestanden zullen overschrijven. U hoeft zich echter geen zorgen te maken als u uitsluitend wijzigingen heeft aangebracht met behulp van ondersteunde methoden (in aangepaste bestanden).

Indien mogelijk, moet u een andere Vultr-cloud-server laten draaien met een eenvoudige Plesk-installatie en de onderstaande opdracht (en) uitvoeren. Vervolgens kunt u, op basis van het succes (of de mislukking), stappen ondernemen om onmiddellijk eventuele problemen op te lossen en / of op te lossen die zich kunnen voordoen in toekomstige HTTP / 2-implementaties op productieservers die momenteel in gebruik zijn.

HTTP / 2 inschakelen

Stap 1: vereisten controleren

Out-of-the-box, u kunt HTTP / 2-ondersteuning inschakelen voor de reverse proxy die Plesk heeft geïmplementeerd. Als u niet zeker weet of uw server een reverse proxy gebruikt, moet u de "Servicemonitor" controleren. Als u zowel Apache als Nginx daar ziet staan, kunt u er vanuit gaan dat uw installatie momenteel een reverse proxy gebruikt. Als u alleen Apache of alleen Nginx ziet, gebruikt u waarschijnlijk een enkele webserver.

In de kern is er één specifieke vereiste die absoluut vereist is om HTTP / 2 te laten werken, namelijk een OpenSSL-versie met ALPN-ondersteuning.

Als u echter Plesk-versie 12.5.30 of hoger hebt geïnstalleerd op CentOS / RHEL 7, Ubuntu 14.04, Debian 8 of hoger, wordt Nginx geïmplementeerd met kant-en-klare ALPN-ondersteuning.

Als u een oudere versie van Plesk of een besturingssysteem heeft, kunt u sommige pakketten upgraden. Ik ondersteun of documenteer dit echter niet. Deze versies en besturingssystemen zijn erg oud en het zou een goede gewoonte zijn om ze bij te werken. Overweeg ook de beveiligingsrisico's van het gebruik van verouderde software.

Er is geen document waarin expliciet wordt vermeld welke besturingssystemen en versies compatibel zijn met HTTP / 2 op Plesk; als u echter de nieuwste versie gebruikt (op het moment dat deze handleiding werd gepubliceerd), moet u aan de vereisten voldoen. Je kunt er gerust van uitgaan dat oudere besturingssystemen zoals CentOS / RHEL 5 niet compatibel zullen zijn.

Afgezien van de vereisten voor de OpenSSL-versie, merk op dat Apache niet noodzakelijkerwijs ook compatibel hoeft te zijn met HTTP / 2. HTTP / 2-ondersteuning voor Apache is beschikbaar sinds versie 2.4.17, maar in het geval dat u een reverse proxy gebruikt (wat de standaardinstelling is in Plesk), hoeft alleen de Nginx-versie te volstaan. De backend-server, Apache, hoeft niet compatibel te zijn. U kunt de "Servicemanager" in Plesk raadplegen om er zeker van te zijn dat u een omgekeerde proxy gebruikt. Wanneer Nginx daar wordt vermeld, is het veilig om aan te nemen dat Apache en Nginx zijn geïnstalleerd als een reverse proxy-installatie waarbij Nginx fungeert als de frontend-server.

De volgende opdracht laat zien of Nginx al dan niet is geactiveerd.

/usr/local/psa/admin/bin/nginxmng -s

Voor OpenSSL moet u minimaal versie 1.0.1 hebben. U kunt dit controleren met de volgende opdracht:

rpm -qa | grep openssl

Hiermee wordt een versie afgedrukt die lijkt op:

openssl-1.0.1e-42.el6_7.4.x86_64

Als de OpenSSL-versie niet gelijk is aan of groter is dan 1.0.1, moet u uw besturingssysteem bijwerken. Plesk die op nieuwere besturingssystemen wordt geïmplementeerd, maakt standaard gebruik van OpenSSL 1.0.1.

Stap 2: HTTP / 2 inschakelen in Plesk

Schakel, afhankelijk van het gebruikte besturingssysteem, HTTP / 2 in met behulp van de http2_preftool. Deze opdracht moet als root worden uitgevoerd.

HTTP / 2 inschakelen op CentOS / RHEL

Voer uit: /usr/local/psa/bin/http2_pref enable

HTTP / 2 inschakelen op Ubuntu / Debian

Voer uit: /opt/psa/bin/http2_pref enable

Stap 3: Verbeter de coderingssuite

Het gebruik van een goede coderingssuite is ongelooflijk belangrijk voor de beveiliging. Het ondersteunen van verouderde protocollen zal het effect van uw beveiligingsmaatregelen effectief tenietdoen. Zorg ervoor dat u de beschikbare protocollen en beschikbare TLS-versies aanpast met behulp van de ingebouwde Plesk-tool sslmng.

Als u bijvoorbeeld de volgende cijfers en TLS-versies inschakelt, is compatibiliteit met HTTP / 2 gegarandeerd. Als u niet zeker bent van de cijfers en versies die u moet inschakelen, houdt u dan aan de volgende instellingen:

plesk sbin sslmng --services=nginx --custom --ciphers="EECDH+AESGCM+AES128:EECDH+AESGCM+AES256:EECDH+CHACHA20:EDH+AESGCM+AES128:EDH+AESGCM+AES256:EDH+CHACHA20" --protocols="TLSv1 TLSv1.1 TLSv1.2"

Deze opdracht wijzigt /etc/nginx/conf.d/ssl.conf. U kunt dit bestand rechtstreeks wijzigen, maar met behulp van de bovenstaande opdracht blijven de wijzigingen in Plesk-updates behouden.

Om "Perfect forward secrecy" te krijgen met een andere coderingssuite, kunt u de volgende cijfers proberen:

ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:RSA+AESGCM:RSA+AES:!aNULL:!MD5:!DSS

Er zijn veel coderingssuites beschikbaar en u moet degene kiezen die het beste bij u past. U moet een website zoals Cipherli.st raadplegen om een ​​coderingssuite te verzamelen die aan uw behoeften voldoet. Door het op te geven in de sslmngtool, wordt de coderingssuite onmiddellijk gebruikt.

Gebruik de Qualys SSL-tool om de TLS-ondersteuning van uw browser als client te controleren . Als u onvoldoende codes of TLS-versies toestaat, worden sommige websites mogelijk onbereikbaar.

Stap 4: HTTP / 2-compatibiliteit controleren

Nadat u HTTP / 2 hebt ingeschakeld, moet u controleren of uw websites en webserver via HTTP / 2 kunnen worden bereikt. Hier is een zeer handige webgebaseerde tool voor: HTTP / 2-test .

Om een ​​nauwkeurig resultaat te krijgen, moet je ervoor zorgen dat je alle reverse proxy's voor je server hebt uitgeschakeld. Als u bijvoorbeeld een CDN gebruikt die HTTP / 2 niet ondersteunt, retourneert de testtool dat uw website HTTP / 2 niet ondersteunt, zelfs als deze met succes is ingeschakeld op serverniveau. Net als andersom: als u een omgekeerde proxy zoals Cloudflare voor uw website heeft (die HTTP / 2 ondersteunt), zal de tool altijd HTTP / 2 retourneren als ingeschakeld en werkend, ongeacht de functionaliteit op serverniveau .

Als sommige browsers weigeren uw website (s) te laden of inhoud van uw webserver te tonen na het inschakelen van HTTP / 2, moet u uw SSL-configuratie analyseren met de SSL-tool van Qualys .

(Optioneel) HTTP / 2-configuratie terugzetten

Indien nodig, als u tijd nodig heeft om te debuggen, kunt u HTTP / 2 (tijdelijk) uitschakelen door simpelweg de onderstaande opdracht uit te voeren. Zodra u HTTP / 2 opnieuw wilt inschakelen, voert u eenvoudig de opdracht uit om deze te activeren en probeert u opnieuw een van uw websites te bereiken. Er is geen manier om HTTP / 2 in of uit te schakelen voor specifieke domeinen of websites; het is een serverbrede setting.

HTTP / 2 uitschakelen op CentOS / RHEL

Voer uit: /usr/local/psa/bin/http2_pref disable

HTTP / 2 uitschakelen op Ubuntu / Debian

Voer uit: /opt/psa/bin/http2_pref disable

Probleemoplossen

Gezien de vele componenten van een server die betrokken zijn bij het inschakelen van HTTP / 2, moet u in sommige gevallen mogelijk problemen oplossen wanneer websites niet correct of helemaal niet worden geladen na activering van HTTP / 2-ondersteuning.

Opmerking: zorg ervoor dat u HTTP / 2-ondersteuning niet uitschakelt met de http2_preftool wanneer u deze stappen volgt.

Controleer de vereisten

Zorg er eerst voor dat u voldoet aan de vereisten die aan het begin van dit artikel zijn beschreven.

Maak de Nginx-configuratie opnieuw

Als u voldoet aan de vereisten voor HTTP / 2, kunt u proberen de Nginx-configuratiebestanden opnieuw te maken. U moet weten dat hiermee alle aangepaste configuraties worden verwijderd, dus maak van tevoren een back-up van de Nginx-configuratiemap. Omdat de configuratiebestanden over de server kunnen worden verspreid, is het beter om gewoon een momentopname te maken of een back-up te maken. Voer vervolgens deze opdracht uit:

/usr/local/psa/admin/bin/httpdmng --reconfigure-all

Controleer de coderingssuite opnieuw

Als dat ook geen effect heeft, is het hoogstwaarschijnlijk de schuldige suite. Voer de volgende opdracht opnieuw uit:

plesk sbin sslmng --services=nginx --custom --ciphers="EECDH+AESGCM+AES128:EECDH+AESGCM+AES256:EECDH+CHACHA20:EDH+AESGCM+AES128:EDH+AESGCM+AES256:EDH+CHACHA20" --protocols="TLSv1 TLSv1.1 TLSv1.2"

Fout in panel.ini

Zorg ervoor dat het bestand /usr/local/psa/admin/conf/panel.inide volgende inhoud bevat:

[webserver]
nginxHttp2 = true

U kunt controleren of het bestand dit snel bevat door het volgende uit te voeren: cat /usr/local/psa/admin/conf/panel.ini | grep nginxHttp2

Retourneert deze opdracht niets? Dan is het bestand hoogstwaarschijnlijk alleen-lezen, bijvoorbeeld vanwege een chattrattribuut. Mogelijk is deze toegevoegd toen de http2_prefopdracht (om HTTP / 2 in te schakelen) werd uitgevoerd.

Controleer of SSL wordt gebruikt

Wanneer een website geen SSL gebruikt, valt deze terug naar HTTP / 1.1. Alleen websites die SSL gebruiken, worden via HTTP / 2 aangeboden. Zorg ervoor dat u HTTP / 2 niet in alle gevallen lokaal afdwingt, want dat werkt niet en is geen probleem aan de serverzijde.

Andere opties

Mocht dit ook niet werken, raadpleeg dan een Plesk-expert, bijvoorbeeld op de Plesk-forums. In veel gevallen zullen de bovenstaande stappen de meeste problemen oplossen.

Een laatste maatregel die u kunt nemen, is eenvoudigweg de server opnieuw opstarten. In sommige vreemde gevallen heeft dit problemen uit het niets opgelost. U moet echter altijd problemen kunnen lokaliseren om te voorkomen dat ze (plotseling) opnieuw gebeuren.

Dat besluit mijn gids, bedankt voor het lezen.