Cum se activează HTTP / 2 pe un server Plesk

• Activarea HTTP / 2
• Depanare

Plesk are suport HTTP / 2 nativ. Procesul său de implementare necesită o planificare atentă, deși rularea HTTP / 2 pe Plesk este mult mai ușoară în comparație cu alte panouri de control. Acest ghid se aplică pentru o varietate de sisteme de operare. Pașii furnizați aici vor funcționa atâta timp cât aveți suficiente versiuni Plesk și OpenSSL. Voi descrie aceste cerințe în „Pasul 1: verificarea cerințelor”.

Ar trebui să țineți cont de faptul că multe browsere vor suporta HTTP / 2 doar pentru site-ul dvs. web dacă utilizați un certificat SSL. Atunci când un certificat SSL nu este utilizat, conținutul nu va fi difuzat prin HTTP / 2. Din fericire, există multe modalități de a obține un certificat SSL. Dacă sunteți interesat să obțineți un certificat Let's Encrypt, consultați acest ghid pentru a crea unul pe Plesk: Let's Encrypt on Plesk .

Chiar dacă există o șansă bună să activați HTTP / 2 fără ca utilizatorii sau vizitatorii să-l observe (și fără nicio perioadă de oprire), ar trebui să anunțați această întreținere. În cazul în care suita de criptare SSL nu a fost configurată corect, ar putea exista unele perioade de oprire. Din fericire, este foarte ușor să reveniți la modificări folosind instrumentul integrat Plesk.

Ar trebui să fiți absolut sigur că nu s-au făcut modificări directe la fișierele de configurare, întrucât vom suprascrie unele fișiere de configurare. Cu toate acestea, nu există nimic de care să vă faceți griji în cazul în care ați făcut modificări exclusiv folosind metode acceptate (în fișiere personalizate).

Dacă este posibil, ar trebui să rotiți un alt server cloud Vultr cu o instalare simplă Plesk și să executați comenzile de mai jos. Apoi, pe baza reușitei sale (sau a eșecului), puteți lua măsuri pentru a depana și / sau a rezolva instantaneu problemele care ar putea apărea în viitoarele implementări HTTP / 2 pe serverele de producție utilizate în prezent.

Activarea HTTP / 2

Pasul 1: Verificarea cerințelor

În afara cazului, puteți activa suportul HTTP / 2 pentru proxy-ul invers pe care Plesk a fost implementat. În cazul în care nu sunteți sigur dacă serverul dvs. folosește un proxy invers, ar trebui să verificați „Service Monitor”. Dacă vedeți atât Apache cât și Nginx enumerate acolo, este sigur să presupuneți că instalația dvs. utilizează în prezent un proxy invers. Dacă vedeți doar Apache sau numai Nginx, cel mai probabil veți utiliza un singur server web.

În esență, există o cerință specifică care este absolut necesară pentru ca HTTP / 2 să funcționeze, care este o versiune OpenSSL cu suport ALPN.

Cu toate acestea, dacă aveți versiunea Plesk 12.5.30 sau mai mare instalată pe CentOS / RHEL 7, Ubuntu 14.04, Debian 8 sau o versiune mai mare, Nginx este implementat cu suport ALPN în afara cazului.

Dacă aveți o versiune mai veche Plesk sau a sistemului de operare, puteți actualiza unele pachete. Cu toate acestea, nu accept și nu documentez acest lucru. Aceste versiuni și sisteme de operare sunt foarte vechi, iar cele mai bune practici ar fi actualizarea acestora. Luați în considerare riscurile de securitate ale utilizării software-ului învechit.

Nu există niciun document care să explice în mod explicit ce sisteme de operare și versiuni sunt compatibile cu HTTP / 2 pe Plesk; cu toate acestea, dacă utilizați cea mai nouă versiune (la momentul publicării acestui ghid), ar trebui să îndepliniți cerințele. Puteți presupune în siguranță că sistemele de operare mai vechi, cum ar fi CentOS / RHEL 5, nu vor fi compatibile.

Pe lângă cerințele versiunii OpenSSL, rețineți că Apache nu trebuie neapărat să fie compatibil cu HTTP / 2. Asistența HTTP / 2 pentru Apache este disponibilă încă de la versiunea 2.4.17, dar în cazul în care folosiți un proxy invers (care este setarea implicită în Plesk), doar versiunea Nginx trebuie să fie suficientă. Serverul backend, Apache, nu ar trebui să fie compatibil. Puteți consulta „Managerul de servicii” din Plesk pentru a vă asigura că utilizați un proxy invers. Când Nginx este listat acolo, este sigur să presupunem că Apache și Nginx sunt instalate ca o configurare proxy inversă în care Nginx acționează ca server frontend.

Următoarea comandă arată dacă Nginx a fost activat sau nu.

/usr/local/psa/admin/bin/nginxmng -s

Pentru OpenSSL, ar trebui să aveți cel puțin versiunea 1.0.1. Puteți verifica folosind următoarea comandă:

rpm -qa | grep openssl

Aceasta va imprima o versiune similară cu:

openssl-1.0.1e-42.el6_7.4.x86_64

Dacă versiunea OpenSSL nu este egală sau mai mare de 1.0.1, ar trebui să vă actualizați sistemul de operare. Plesk implementat pe sisteme de operare mai noi va folosi OpenSSL 1.0.1.

Pasul 2: Activarea HTTP / 2 în Plesk

În funcție de sistemul de operare utilizat, activați HTTP / 2 folosind http2_prefinstrumentul. Această comandă ar trebui să fie executată ca root.

Activarea HTTP / 2 pe CentOS / RHEL

A executa: /usr/local/psa/bin/http2_pref enable

Activarea HTTP / 2 pe Ubuntu / Debian

A executa: /opt/psa/bin/http2_pref enable

Pasul 3: Îmbunătățirea suitei de cifrare

Utilizarea unei suite de cifrare bune este incredibil de importantă pentru securitate. Sprijinirea protocoalelor depășite va învinge efectiv efectul măsurilor de securitate. Asigurați-vă că reglați protocoalele disponibile și versiunile TLS disponibile folosind instrumentul Plesk încorporat sslmng.

De exemplu, activarea următoarelor cifre și versiunile TLS va asigura compatibilitatea cu HTTP / 2. Dacă nu sunteți mai sigur de cifre și versiuni pe care ar trebui să le activați, atunci respectați următoarele setări:

plesk sbin sslmng --services=nginx --custom --ciphers="EECDH+AESGCM+AES128:EECDH+AESGCM+AES256:EECDH+CHACHA20:EDH+AESGCM+AES128:EDH+AESGCM+AES256:EDH+CHACHA20" --protocols="TLSv1 TLSv1.1 TLSv1.2"

Această comandă se modifică /etc/nginx/conf.d/ssl.conf. Puteți modifica acest fișier direct, dar utilizarea comenzii enumerate mai sus va continua modificările în actualizările Plesk.

Pentru a obține „Perfect forward secret” folosind o altă suită de cifrare, puteți încerca următoarele cifre:

ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:RSA+AESGCM:RSA+AES:!aNULL:!MD5:!DSS

Există multe suite de cifrare disponibile și ar trebui să îl alegeți pe cel care se potrivește cel mai bine nevoilor dvs. Ar trebui să consultați un site web cum ar fi Cipherli.st pentru a aduna o suită de cifrare care să se potrivească nevoilor dvs. Precizându-l în sslmnginstrument, suita de criptare va fi utilizată instantaneu.

Pentru a verifica suportul TLS al browserului dvs. ca client, utilizați instrumentul Qualys SSL . Când nu permiteți cifre suficiente sau versiuni TLS, unele site-uri web pot deveni inaccesibile.

Pasul 4: Verificarea compatibilității HTTP / 2

După activarea HTTP / 2, ar trebui să verificați dacă site-urile dvs. web și serverul web pot fi accesate prin HTTP / 2. Există un instrument foarte util pentru web: HTTP / 2 Test .

Pentru a obține un rezultat precis, asigurați-vă că ați dezactivat toate proxy-urile inversate situate în fața serverului. De exemplu, dacă utilizați un CDN care nu acceptă HTTP / 2, instrumentul de testare va returna site-ul dvs. web nu acceptă HTTP / 2 chiar dacă este activat cu succes la nivel de server. La fel ca invers: dacă aveți un proxy invers, cum ar fi Cloudflare în fața site-ului dvs. web (care acceptă HTTP / 2), instrumentul va întoarce întotdeauna HTTP / 2 ca fiind activat și funcționează, indiferent de funcționalitatea sa la nivel de server. .

Dacă unele browsere refuză să-ți încarce site-urile web sau să servească orice conținut de pe serverul tău web după activarea HTTP / 2, ar trebui să analizezi configurarea SSL folosind instrumentul SSL de Qualys .

(Opțional) Revenirea configurației HTTP / 2

Dacă este nevoie, dacă aveți nevoie de timp pentru depanare, puteți dezactiva (temporar) HTTP / 2 pur și simplu executând comanda de mai jos. După ce doriți să reactivați HTTP / 2, pur și simplu executați comanda pentru activarea acestuia și încercați din nou la orice site-uri web. Nu există nicio modalitate de a activa sau dezactiva HTTP / 2 pentru domenii sau site-uri web specifice; este o setare la nivel de server.

Dezactivarea HTTP / 2 pe CentOS / RHEL

A executa: /usr/local/psa/bin/http2_pref disable

Dezactivarea HTTP / 2 pe Ubuntu / Debian

A executa: /opt/psa/bin/http2_pref disable

Depanare

Având în vedere numeroasele componente ale unui server implicat în activarea HTTP / 2, în unele cazuri, poate fi necesar să depanați atunci când site-urile web nu se încarcă corect sau deloc după activarea suportului HTTP / 2.

Notă: asigurați-vă că nu dezactivați suportul HTTP / 2 folosind http2_prefinstrumentul atunci când urmați acești pași.

Verificați cerințele

În primul rând, asigurați-vă că îndepliniți cerințele expuse la începutul acestui articol.

Recreați configurația Nginx

Dacă îndepliniți cerințele pentru HTTP / 2, puteți încerca să recreați fișierele de configurare Nginx. Ar trebui să știți că aceasta va elimina orice configurație personalizată, astfel încât să creați o copie de rezervă a directorului de configurare Nginx înainte. Întrucât fișierele de configurare pot fi răspândite pe tot serverul, este mai bine să faceți pur și simplu o instantanee sau să faceți o copie de rezervă. Apoi, executați această comandă:

/usr/local/psa/admin/bin/httpdmng --reconfigure-all

Verificați din nou suita de criptare

Dacă nici asta nu are niciun efect, cel mai probabil, suita de criptă este de vină. Executați din nou următoarea comandă:

plesk sbin sslmng --services=nginx --custom --ciphers="EECDH+AESGCM+AES128:EECDH+AESGCM+AES256:EECDH+CHACHA20:EDH+AESGCM+AES128:EDH+AESGCM+AES256:EDH+CHACHA20" --protocols="TLSv1 TLSv1.1 TLSv1.2"

Eroare în panel.ini

Asigurați-vă că fișierul /usr/local/psa/admin/conf/panel.iniconține următorul conținut:

[webserver]
nginxHttp2 = true

Puteți verifica dacă fișierul conține acest lucru rapid executând: cat /usr/local/psa/admin/conf/panel.ini | grep nginxHttp2

Această comandă nu returnează nimic? Apoi, cel mai probabil, fișierul este de numai citire, de exemplu datorită unui chattratribut. Este posibil să fi fost adăugat atunci când http2_prefcomanda (pentru a activa HTTP / 2) a fost executată.

Verificați dacă se folosește SSL

Când un site web nu folosește SSL, acesta va reveni la HTTP / 1.1. Doar site-urile web care utilizează SSL vor fi furnizate utilizând HTTP / 2. Asigurați-vă că nu aplicați HTTP / 2 local în toate cazurile, deoarece acest lucru nu va funcționa și nu este o problemă din partea serverului.

Alte optiuni

Dacă acest lucru nu funcționează, ar trebui să consultați un expert Plesk, de exemplu pe forumurile Plesk. În multe cazuri, etapele de mai sus vor rezolva majoritatea problemelor.

O ultimă măsură pe care o puteți lua este pur și simplu să reporniți serverul. În unele cazuri ciudate, acest lucru a rezolvat problemele din mod clar. Cu toate acestea, ar trebui să poți identifica întotdeauna probleme pentru a le împiedica (dintr-o dată) să se mai repete.

Asta încheie ghidul meu, vă mulțumesc că ați citit.