HTTP/2 Unterstützung in LiveConfig

nginx kann es ab version 1.9.5 https://www.nginx.com/blog/nginx-1-9-5/
daher +1 von mir für die umsetzung

Zitat von RB-Media-Group

Zusätzlich müssen es noch die Apache & NGINX Pakete vom Testing in Stable schaffen.

eben, das dauert noch eine Weile, die Unterstützung durch LC würde also nur Leuten helfen, die z.B. selbst kompilieren (oder vielleicht mit Gentoo?)

Zitat von aziegler

eben, das dauert noch eine Weile, die Unterstützung durch LC würde also nur Leuten helfen, die z.B. selbst kompilieren (oder vielleicht mit Gentoo?)

wenn es aber dann soweit ist, wäre es schonmal in LC drinnen
und über die versionsnummern kann ja herausfinden ob entsprechende apache/nginx version http2 kann

Was habt ihr da genau geändert?

- über Protocols aktiviert, klar
- dann müssen aber die Cipher angepasst werden: PCI-kompatible Cipher sind teilweise für HTTP/2 blacklisted.
- mit den empfohlenen Ciphern werden aber einige ältere Clients auch von HTTPS abgehalten.

Oder hab ich da was falsch getestet?

Zitat von RB-Media-Group

nur die Protokolle aktiviert, und in confs übernommen.

a2enmod http2
# cat /etc/apache2/conf-enabled/http2.conf
Protocols h2 http/1.1


H2Push          on
H2PushPriority  *                       after
H2PushPriority  text/css                before
H2PushPriority  image/jpeg              after   32
H2PushPriority  image/png               after   32
H2PushPriority  application/javascript  interleaved

Ergibt dann weiterhin HTTP/1.1, da eben blacklisted Cipher mit drinnen sind.

Was sagt der Qualys SSL-Test bei euch genau?

Bei uns:

Android 7.0 	Server negotiated HTTP/2 with blacklisted suite
RSA 4096 (SHA256)   |  TLS 1.2 > h2    |  TLS_RSA_WITH_AES_256_GCM_SHA384 
Chrome 51 / Win 7  R		Server negotiated HTTP/2 with blacklisted suite
RSA 4096 (SHA256)   |  TLS 1.2 > h2    |  TLS_RSA_WITH_AES_256_GCM_SHA384
Firefox 47 / Win 7  R		Server negotiated HTTP/2 with blacklisted suite
RSA 4096 (SHA256)   |  TLS 1.2 > h2    |  TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA  |  ECDH secp256r1
Firefox 49 / XP SP3 	RSA 4096 (SHA256)   	TLS 1.2 > h2   	TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384   ECDH secp256r1  FS
Firefox 49 / Win 7  R		RSA 4096 (SHA256)   	TLS 1.2 > h2   	TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384   ECDH secp256r1  FS

Das sieht für mich nicht nach "geht" aus.

Ergänzung:

Die SSL-Server-Chiffren müssen auf "kompatibel" stehen. Mit "PCI-konform" klappt's nicht!

kk: bitte in die Doku, soweit die existiert

Zitat von antondollmaier

Ergänzung:

Die SSL-Server-Chiffren müssen auf "kompatibel" stehen. Mit "PCI-konform" klappt's nicht!

Was genau ist damit denn gemeint?

Serververwaltung -> Web -> IP-Adressen -> (IP-Gruppe bearbeiten). Dort in der DropDown-Box die SSL-Server-Chiffren auf "kompatibel" setzen.

Hm, das stand bei mir bereits auf "kompatibel" und dennoch meldet dieser Test, dass HTTP2 nicht funktioniert.

root@server ~ # apache2ctl -t -D DUMP_MODULES
[...]
 http2_module (shared)
 ssl_module (shared)

root@server ~ # cat /etc/apache2/conf-enabled/http2.conf 
Protocols h2 http/1.1


H2Push          on
H2PushPriority  *                       after
H2PushPriority  text/css                before
H2PushPriority  image/jpeg              after   32
H2PushPriority  image/png               after   32
H2PushPriority  application/javascript  interleaved

Hab ich was vergessen?

Lösung

Das File "http2.conf" muss scheinbar in /etc/apache2/conf.d/ liegen, damit es geladen wird.

Zitat von besterwosgibt

Lösung

Das File "http2.conf" muss scheinbar in /etc/apache2/conf.d/ liegen, damit es geladen wird.

Nö, muss es nicht.

Unter Debian Stretch ist "conf-enabled" (bzw. conf-available und danach die Config aktivieren) der richtige Ordner.

Bitte bei solchen Angaben immer das Betriebssystem bzw. die Distribution mit angeben,

Wie kann ich denn nginx beibringen, http2 zu nutzen? In die vhosts reinschreiben wäre ja unsinnig, da LC diese ggf. überschreibt.