[[175587]]

昨晚偶爾清理 Chrome 插件時(shí)發(fā)現(xiàn)我的 “HTTP/2 and SPDY indicator”插件好像好久沒亮了。這個(gè)插件在你訪問到一個(gè)支持 HTTP/2 (或之前的 SPDY 協(xié)議)的網(wǎng)站時(shí)會(huì)點(diǎn)亮，而我明明記得之前專門讓 https://linux.cn/ 支持了 HTTP/2 。

我的***反應(yīng)是不是這個(gè)插件有問題了?于是打開 Chrome 調(diào)試工具，然后發(fā)現(xiàn)，真的是請(qǐng)求和響應(yīng)都是 HTTP/1.1 哎!

經(jīng)過一番研究，原來是從 Chrome 51 開始，在 2016 年 5 月 31 日之前，對(duì)支持 NPN 協(xié)商協(xié)議的 HTTP/2 網(wǎng)站還會(huì)采用 HTTP/2 訪問;而之后就只支持 ALPN 協(xié)商協(xié)議的 HTTP/2 網(wǎng)站了——而目前 ALPN 協(xié)議僅被鮮少有發(fā)行版支持 openssl-1.0.2 支持。

發(fā)生了什么?

服務(wù)器端

我們知道，最初的 Web 訪問協(xié)議是 HTTP/1，包括以前的 HTTP/1.0 和現(xiàn)在大部分網(wǎng)站采用的 HTTP/1.1(HTTP/0.9 是試驗(yàn)性協(xié)議，已經(jīng)廢棄)。但是隨著 Web 應(yīng)用越來越復(fù)雜，之前的 HTTP/1.x 協(xié)議就看起來不能滿足日益龐雜的 Web 服務(wù)需求了。比如說，明文請(qǐng)求、請(qǐng)求復(fù)用等問題。因此，谷歌就開發(fā)了一個(gè)新的傳輸層協(xié)議，名為 SPDY。由于這個(gè)新的協(xié)議用了的人都說好，因此谷歌就把這個(gè)協(xié)議提交到了 IETF，然后大家覺得，SPDY 這名字不好聽(SPDY 是谷歌的注冊(cè)商標(biāo))，就干脆叫 HTTP/2 吧!

SPDY 協(xié)議是基于 SSL/TLS 的，谷歌開發(fā)了一個(gè)名為下一代協(xié)議協(xié)商(Next Protocol Negotiation)(NPN)的 SSL/TLS 擴(kuò)展，用于在客戶端連接服務(wù)器時(shí)協(xié)商是否采用 HTTP/2 協(xié)議。SPDY 協(xié)議是由 Web 服務(wù)器所實(shí)現(xiàn)支持的，而 NPN 則是由 OpenSSL 等 SSL 實(shí)現(xiàn)支持的。

但是，隨著 SPDY 被提交到 IETF，然后變成了 HTTP/2 協(xié)議，谷歌也放棄了 SPDY 的開發(fā)，全力投入到了 HTTP/2 的開發(fā)中，之前所采用 NPN 也被一種新的協(xié)商協(xié)議 ALPN ——應(yīng)用層協(xié)議協(xié)商(Application-Layer Protocol Negotiation)所替代。NPN 和 ALPN 是不兼容的，它們的主要不同是：

• NPN 是服務(wù)器發(fā)送所支持的協(xié)議列表，由客戶端進(jìn)行選擇。而 ALPN 則是客戶端發(fā)送該列表，由服務(wù)端選擇。
• 在 NPN 中，最終的選擇結(jié)果是在 Change Cipher Spec 之后發(fā)送給服務(wù)端的，也就是說是被加密了的。而在 ALPN 中，所有的協(xié)商都是明文的。

這樣做的好處主要是安全性方面的考慮，但是這造成了一個(gè)問題就是，NPN 已經(jīng)廣泛地被 OpenSSL 支持，而 ALPN 則目前只有***的 openssl-1.0.2 才支持。當(dāng)前的幾個(gè)主流 Linux 發(fā)行版的 OpenSSL 版本以及支持的協(xié)商協(xié)議如下：

從上面我們可以看到，基本上所有的服務(wù)器級(jí)的 Linux 發(fā)行版都不支持 OpenSSL 及 ALPN，唯一支持的 Ubuntu 16.04 LTS 顯然用的不會(huì)很多。不要小看這 0.0.1 的版本差異，對(duì)于別的軟件來說這 0.0.1 的差異基本上可以忽略，但是對(duì)于 OpenSSL 來說，那就是兩個(gè)版本代際。OpenSSL 是個(gè)相當(dāng)?shù)讓拥膸?，很多重要的軟件都依賴于它，因此各個(gè)發(fā)行版在升級(jí) OpenSSL 時(shí)采用的態(tài)度是相當(dāng)保守，比如我們可以看看 CentOS 系統(tǒng)中有哪些軟件使用了 OpenSSL：

$ lsof | grep libssl | awk '{print $1}' | sort | uniq 
anvil 
fail2ban 
gdbus 
gmain 
httpd 
postfix 
mysqld 
NetworkManager 
nginx 
php-fpm 
puppet 
sshd 
sudo 
tuned 
zabbix_agent 

沒有經(jīng)過足夠的測(cè)試，Linux 發(fā)行版是不會(huì)在產(chǎn)品級(jí)(服務(wù)器級(jí))的環(huán)境中隨便升級(jí)的。為了解決舊版本(1.0.1)中的安全問題，他們寧可將新的版本(1.0.2)中安全修復(fù)移植回舊版本，也不會(huì)升級(jí)到有新功能的新版本(1.0.2)，這就是你見到了各種 1.0.1e、1.0.1k 這樣的版本號(hào)的原因。

當(dāng)然，你可以自己編譯一個(gè)*** OpenSSL 替代你系統(tǒng)中的 openssl-1.0.1，但是我想你不會(huì)這樣做的，是吧?

順便提一句，NPN 和 ALPN 可以并存，但是會(huì)客戶端會(huì)優(yōu)先選擇 ALPN。

瀏覽器端(Chrome)

從 Chrome 51 開始，谷歌就去掉了對(duì) SPDY 的支持，不過這不是個(gè)事，因?yàn)椴坏褂?SPDY 的 Web 服務(wù)器比較少，而且從 SPDY 升級(jí)到 HTTP/2 也很簡(jiǎn)單，這方面 Nginx、Apache 等服務(wù)器的配置都很簡(jiǎn)單。

但不幸的是，在 Chrome 51 中，谷歌也去掉了對(duì) NPN 的支持!如果你的 Web 服務(wù)器使用的是 openssl-1.0.2 以下的版本，不支持 ALPN 協(xié)商，那么 Chrome 51 及以后版本就會(huì)以 HTTP/1 協(xié)議訪問你的網(wǎng)站。

谷歌對(duì)放棄 NPN 支持做了一個(gè)簡(jiǎn)短的解釋，但是不管怎么說，NPN 協(xié)議在 Chrome 51 之后的版本不會(huì)再次回來了。而另一方面，OpenSSL 在 2016 年 12 月 31 日之后也不會(huì)繼續(xù)發(fā)布 openssl-1.0.1 系列的新版本了，安全修復(fù)到此為止。

而在這種情況下，你原本支持 HTTP/2 的網(wǎng)站通過連接復(fù)用等 HTTP/2 所提供的新特性，在 Chrome 下訪問取得了不錯(cuò)的體驗(yàn)，而現(xiàn)在又跌回了之前的殘舊狀態(tài)。

怎么辦呢?

有幾種辦法：

換瀏覽器

山不來就我，我去就山。Chrome 51+ 不支持帶 NPN 的 HTTP/2 網(wǎng)站，作為瀏覽者，你可以使用其它的瀏覽器，比如 Safari、Edge 之類的。這樣，你就可以用新的協(xié)議來訪問世界上那 10% 支持 HTTP/2 的 Web 服務(wù)器了。

但是，作為服務(wù)器運(yùn)營者，你卻不能忽視高達(dá) 50% 以上的 Chrome 用戶。

換服務(wù)器

如上面所示，Ubuntu 16.04 LTS 是目前唯一官方支持 openssl-1.0.2 的 Linux 發(fā)行版，如果你一直采用 Ubuntu 做服務(wù)器，考慮一下升級(jí)吧。LTS 版本的支持期長達(dá)五年。

當(dāng)然，在產(chǎn)品環(huán)境中，即便你是 Ubuntu 服務(wù)器，更新版本也是一件重大事宜，宜慎思之。

重新編譯

既然換服務(wù)器不是一個(gè)好的選擇，那你還有一個(gè)方案，就是使用新的 openssl-1.0.2 源代碼重新編譯你的 Web 服務(wù)器，比如 nginx。

下面我簡(jiǎn)單介紹一下如何用 openssl-1.0.2 來編譯 nginx。(1.0.2 系列的***版本是 1.0.2j，當(dāng)然你要非用 1.1.0，我也無話可說……)

首先下載并解壓 openssl-1.0.2j：

# wget https://www.openssl.org/source/openssl-1.0.2j.tar.gz 
# tar -zxvf openssl-1.0.2j.tar.gz 

然后在編譯 nginx 的時(shí)候使用 --with-openssl=../openssl-1.0.2j 選項(xiàng)以及你的其它選項(xiàng)：

./configure --with-openssl=../openssl-1.0.2j --with-http_v2_module --with-http_ssl_module 

配置并編譯之后，你可以用 nginx -V來看一下你的 nginx 中的 OpenSSL 版本。

這種自行編譯的好處是靈活性高，但是你需要隨時(shí)注意各個(gè)組件是否有嚴(yán)重的安全漏洞，并在出了修復(fù)版本之后重新編譯。

容器

除了自己編譯之外，如果你的系統(tǒng)環(huán)境中已經(jīng)有了容器支持，你還可以在容器中運(yùn)行一個(gè) Ubuntu 16.04 LTS，并將 Web 服務(wù)器運(yùn)行在其中。

總結(jié)

以上就是 HTTP/2 和 Chrome 之間的故事，你準(zhǔn)備去升級(jí) HTTP/2 支持了嗎?要知道相比 HTTP/2 的訪問體驗(yàn)，你肯定不會(huì)想再回到 HTTP/1 了。