介紹

Nginx是一個快速可靠的開源 Web 服務器。它因其低內存占用、高可擴展性、易于配置以及對多種協議的支持而廣受歡迎。

HTTP/2 是超文本傳輸協議的較新版本，用于在 Web 上將頁面從服務器傳送到瀏覽器。HTTP/2 是近二十年來 HTTP 的第一次重大更新：HTTP1.1 早在 1999 年就被引入公眾，當時網頁的大小要小得多。從那時起，互聯網發生了巨大的變化，我們現在面臨著 HTTP 1.1 的限制。該協議限制了大多數現代網站的潛在傳輸速度，因為它在隊列中下載頁面的一部分——前一部分必須在下一部分開始下載之前完全下載——而一個普通的現代網頁會下載數十個單獨的 CSS、JavaScript、和圖像資產。

HTTP/2 解決了這個問題，因為它帶來了一些根本性的變化：

•  所有請求都是并行下載的，而不是在隊列中
•  HTTP 標頭被壓縮
•  頁面作為二進制文件傳輸，而不是作為文本文件傳輸，這樣效率更高
•  服務器可以在沒有用戶請求的情況下“推送”數據，為高延遲用戶提高速度

盡管 HTTP/2 不需要加密，但兩個最流行的瀏覽器 Google Chrome 和 Mozilla Firefox 的開發人員表示，出于安全原因，他們將僅支持 HTTP/2 用于 HTTPS 連接。因此，如果您決定設置支持 HTTP/2 的服務器，您還必須使用 HTTPS 保護它們。

本教程將幫助您設置一個支持 HTTP/2 的快速且安全的 Nginx 服務器。

先決條件

在開始之前，您需要準備一些東西：

•  設置的 Ubuntu 20.04 服務器，包括 sudo 非 root 用戶和防火墻。
•  Nginx 安裝在您的服務器上，您可以按照如何在 Ubuntu 20.04 上安裝 Nginx 來完成。
•  配置為指向您的服務器的域名。
•  為您的服務器配置的 TLS/SSL 證書。您有幾個選擇：
  •   您可以按照如何在 Ubuntu 20.04 上使用 Let's Encrypt 保護 Nginx 來從Let's Encrypt獲得免費證書。
  •   您還可以按照如何在 Ubuntu 20.04 中為 Nginx 創建自簽名 SSL 證書來生成和配置自簽名證書。
•  Nginx 配置為將流量從端口重定向80到端口443，這應該包含在前面的先決條件中。
•  Nginx 配置為使用 2048 位或更高的 Ephemeral Diffie-Hellman (DHE) 密鑰，這也應包含在先前的先決條件中。

步驟 1 — 啟用 HTTP/2 支持

如果您按照Nginx 安裝教程中的服務器塊設置步驟進行操作，則您的域中應該有一個服務器塊，并且已正確設置了指令。我們將進行的第一個更改是修改您域的服務器塊以使用 HTTP/2。/etc/nginx/sites-available/your_domainserver_name

使用nano或首選編輯器打開您的域的配置文件：

•  sudo nano /etc/nginx/sites-enabled/your_domain

在文件中，找到listen與 port 關聯的變量443：

/etc/nginx/sites-enabled/your_domain 

...  
    listen [::]:443 ssl ipv6only=on;  
    listen 443 ssl;  
... 

第一個用于 IPv6 連接。第二個用于所有 IPv4 連接。我們將為兩者啟用 HTTP/2。

修改每個listen指令以包括http2：

/etc/nginx/sites-enabled/your_domain 

...  
    listen [::]:443 ssl http2 ipv6only=on;  
    listen 443 ssl http2;  
... 

這告訴 Nginx 在支持的瀏覽器中使用 HTTP/2。

保存配置文件并退出文本編輯器。如果您使用的是，請在出現提示時nano按Ctrl+Xthen，Y然后按 Enter。

每當您對 Nginx 配置文件進行更改時，您都應該使用-t運行 Nginx 內置語法檢查命令的標志來檢查配置是否存在錯誤：

•  sudo nginx -t

如果語法沒有錯誤，您將收到如下輸出：

sudo nginx -t 的輸出 

nginx: the configuration file /etc/nginx/nginx.conf syntax is ok  
nginx: configuration file /etc/nginx/nginx.conf test is successful 

接下來，您將配置 Nginx 服務器以使用更嚴格的密碼列表來提高服務器的安全性。

步驟 2 — 刪除舊的和不安全的密碼套件

HTTP/2 有一個應該避免的舊的和不安全的密碼的阻止列表。密碼套件是描述傳輸數據應如何加密的加密算法。

您將用于定義密碼的方法取決于您為 Nginx 配置 TLS/SSL 證書的方式。

如果您使用 Certbot 獲取證書，它還會創建/etc/letsencrypt/options-ssl-nginx.conf包含對 HTTP/2 不夠安全的密碼的文件。但是，修改此文件將阻止 Certbot 將來應用更新，因此我們只會告訴 Nginx 不要使用此文件，我們將指定我們自己的密碼列表。

打開您的域的服務器塊配置文件： 

sudo nano /etc/nginx/sites-enabled/your_domain 

找到包含該options-ssl-nginx.conf文件的行并通過#在該行的開頭添加一個字符來將其注釋掉：

/etc/nginx/sites-enabled/your_domain 

# include /etc/letsencrypt/options-ssl-nginx.conf; # managed by Certbot<^> 

在該行下方，添加此行以定義允許的密碼：

/etc/nginx/sites-enabled/your_domain 

ssl_ciphers EECDH+CHACHA20:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3DES:!MD5; 

保存文件并退出編輯器。

如果您使用自簽名證書或使用第三方證書并根據先決條件對其進行配置，請/etc/nginx/snippets/ssl-params.conf在文本編輯器中打開該文件：

•  sudo nano /etc/nginx/snippets/ssl-params.conf

找到以下行：

/etc/nginx/snippets/ssl-params.conf 

...  
ssl_ciphers ECDHE-RSA-AES256-GCM-SHA512:DHE-RSA-AES256-GCM-SHA512:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384;  
... 

修改它以使用以下密碼列表：

/etc/nginx/snippets/ssl-params.conf 

...  
ssl_ciphers EECDH+CHACHA20:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3DES:!MD5;  

保存文件并退出編輯器。

再次使用以下nginx -t命令檢查配置是否存在語法錯誤：

•  sudo nginx -t

如果您遇到任何錯誤，請解決它們并再次測試。

一旦您的配置通過語法檢查，請使用以下systemctl命令重新啟動 Nginx ：

•  sudo systemctl reload nginx.service

重新啟動服務器后，讓我們驗證它是否有效。

步驟 3 — 驗證 HTTP/2 是否已啟用

讓我們確保服務器正在運行并使用 HTTP/2。

使用該curl命令向您的站點發出請求并查看標頭：

•  curl -I -L --http2 https://your_domain

您將收到如下輸出： 

HTTP/2 200  
server: nginx/1.18.0 (Ubuntu)  
date: Wed, 10 Nov 2021 17:53:10 GMT  
content-type: text/html  
content-length: 612  
last-modified: Tue, 09 Nov 2021 23:18:37 GMT  
etag: "618b01cd-264"  
accept-ranges: bytes 

您還可以驗證 HTTP/2 是否在 Google Chrome 中使用。打開 Chrome 并導航到. 打開 Chrome 開發人員工具（查看->開發人員->開發人員工具）并重新加載頁面（查看->重新加載此頁面）。導航到Network選項卡，右鍵單擊以Name開頭的表標題行，然后從彈出菜單中選擇Protocol選項。https://your_domain

您將擁有一個包含（代表 HTTP/2）的新協議列h2，表明 HTTP/2 正在運行。

此時，您已準備好通過 HTTP/2 協議提供內容。讓我們通過啟用 HSTS 來提高安全性和性能。

步驟 4  - 啟用 HTTP 嚴格傳輸安全 (HSTS)

即使您的 HTTP 請求重定向到 HTTPS，您也可以啟用HTTP 嚴格傳輸安全(HSTS) 以避免必須執行這些重定向。如果瀏覽器找到 HSTS 標頭，它不會在給定的時間段內再次嘗試通過常規 HTTP 連接到服務器。無論如何，它將僅使用加密的 HTTPS 連接來交換數據。此標頭還保護我們免受協議降級攻擊。

再次打開您的域的服務器塊配置文件： 

sudo nano /etc/nginx/your_domain 

將此行添加到包含 SSL 密碼的文件的同一塊以啟用 HSTS：

/etc/nginx/your_domain 

server {  
...  
    ssl_ciphers EECDH+CHACHA20:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3DES:!MD5;  
    add_header Strict-Transport-Security "max-age=15768000" always;  
}  
... 

在max-age以秒為單位設定。該值15768000相當于 6 個月。

默認情況下，此標頭不會添加到子域請求中。如果您有子域并希望 HSTS 應用于所有子域，則應includeSubDomains在行尾添加變量，如下所示：

/etc/nginx/your_domain 

add_header Strict-Transport-Security "max-age=15768000; includeSubDomains" always; 

保存文件，然后退出編輯器。

再次檢查配置是否有語法錯誤：

•  sudo nginx -t

最后，重新啟動 Nginx 服務器以應用更改。

sudo systemctl reload nginx.service

結論

您的 Nginx 服務器現在正在為 HTTP/2 頁面提供服務。如果您想測試 SSL 連接的強度，請訪問Qualys SSL 實驗室并針對您的服務器運行測試。如果一切配置正確，您應該獲得 A+ 標記以確保安全。