The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

В Chrome 51 наблюдаются проблемы с использованием HTTP/2

07.06.2016 22:58

Разработчики NGINX обратили внимание на проблему с прекращением использования HTTP/2 при обращении при помощи web-браузера Chrome 51 к большинству сайтов, доступных по протоколу HTTP/2. В Chrome 51 прекращена поддержка TLS-расширения NPN, развиваемого в паре с SPDY, на смену которому вместе с HTTP/2 пришло TLS-расширение ALPN. Большая часть сайтов, поддерживающих HTTP/2, работает под управлением nginx и LiteSpeed, в которых применяется реализация TLS из OpenSSL.

Проблема заключается в том, что поддержка ALPN появилась только в OpenSSL 1.0.2, который ещё почти не используется в популярных серверных дистрибутивах Linux. В частности, OpenSSL 1.0.2 присутствует только в Ubuntu 16.04, а в CentOS/RHEL 6.x/7.x, Debian 7.x/8.x и Ubuntu 14.04 применяется OpenSSL 1.0.1, который поддерживает только NPN. В качестве возможных решений проблемы предлагается сменить дистрибутив, самостоятельно пересобрать nginx с новым выпуском OpenSSL или запустить nginx в контейнере с Ubuntu 16.04 LTS. В противном случае, пользователи Chrome 51 будут ограничены использованием HTTP/1.1.

Разработчики Chrome были уведомлены о проблеме ещё в прошлом году, в мае были осуществлены попытки привлечения к проблеме общественного внимания. Тем не менее, помимо SPDY из Chrome 51 также было удалено и TLS-расширение NPN (может работать в паре не только с SPDY, но и с HTTP/2), что привело к практически полному прекращению обращения к сайтам по HTTP/2 при использовании Chrome/Chromium.

  1. Главная ссылка к новости (https://www.nginx.com/blog/sup...)
  2. OpenNews: Выпуск web-браузера Chrome 51
  3. OpenNews: В Chrome скоро будет прекращена поддержка протокола SPDY
  4. OpenNews: Google отказывается от поддержки в Chrome протокола SPDY в пользу HTTP/2
  5. OpenNews: HTTP/2.0 получил статус предложенного стандарта
  6. OpenNews: Выпуск nginx 1.9.5 с поддержкой HTTP/2
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/44561-alpn
Ключевые слова: alpn, npn, chrome, nginx, openssl
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (43) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (-), 23:04, 07/06/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +16 +/
    Но есть лучший способ решить эту проблему: забить и подождать ещё годик-другой.
     
     
  • 2.18, MPEG LA (ok), 00:46, 08/06/2016 [^] [^^] [^^^] [ответить]  
  • +17 +/
    в последнее время это становится одним из лучших вариантов решения веб-проблем.
     
     
  • 3.31, Аноним (-), 10:57, 08/06/2016 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Растушее количество ботнетов на серверных линуксах, а точнее на не обновленных вовремя, серверных линуксах, гарантируют это.
     

  • 1.2, th3m3 (ok), 23:06, 07/06/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +13 +/
    Или предложить пользователям использовать браузер для людей, например Firefox.
     
     
  • 2.22, Аноним (-), 08:12, 08/06/2016 [^] [^^] [^^^] [ответить]  
  • +6 +/
    Ничего, для уравновешивания ситуации разрабы FF полным ходом ухудшают его до потери конкурентноспособности.
     
     
  • 3.25, Andrey Mitrofanov (?), 10:23, 08/06/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > Ничего, для уравновешивания ситуации разрабы FF полным ходом ухудшают его до потери
    > конкурентноспособности.

    Зато у него в свете новости есть неоспоримое преимущество. Pазработчики NGINX INC. на него даже не посмотрят! Ура.

     
  • 2.41, Аноним (-), 15:05, 08/06/2016 [^] [^^] [^^^] [ответить]  
  • –2 +/
    На компьютерах можно, но мобильный FF к использованию непригоден.
     

  • 1.4, Аноним (-), 23:07, 07/06/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +14 +/
    Для CentOS/RHEL специально делаем сборки NGINX и Apache.
    https://codeit.guru/ru_RU/

    SRPM доступны. Сами пользуемся для хостинга клиентских сервисов и сайтов.
    Пршу критиковать и комментировать.

     
     
  • 2.23, Нанобот (ok), 09:06, 08/06/2016 [^] [^^] [^^^] [ответить]  
  • +/
    а объясните такой момент: что случится, если я поставлю эти пакеты на 6/7 центос, в котором нету openssl 1.0.2? не запустится? запустится, но не будет работать с http/2? или оно там статически слинковано и всё будет ок?
     
     
  • 3.24, xl32 (ok), 10:21, 08/06/2016 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Да специально же для CentOS/RHEL mod_ssl собран статически с OpenSSL 1.0.2h.
    В NGINX собран сам бинарь nginx статически, так что будет запускаться на CentOS/RHEL 6/7 и точно ничего (кроме веб-сервера, конечно) не зацепит проблемами бинарной совместимости.
     
     
  • 4.28, Аноним (-), 10:31, 08/06/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > для CentOS/RHEL mod_ssl собран статически с OpenSSL 1.0.2h

    ентепрайзненько!

     
     
  • 5.29, Andrey Mitrofanov (?), 10:41, 08/06/2016 [^] [^^] [^^^] [ответить]  
  • +/
    >> для CentOS/RHEL mod_ssl собран статически с OpenSSL 1.0.2h
    > ентепрайзненько!

    Ммм... А mod_ssl собранного в отдельный дорккер-контейнер не завезли? "Будем искать."Ц

     
     
  • 6.30, xl32 (ok), 10:44, 08/06/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Я подумываю о разворачивании какого-нибудь пакета openssl102-1.0.2h-1.el7.rpm в /opt, чтобы было действительно энтерпрайзненько.
    Чуть позже обкатаем и такие пакеты.
     
  • 4.32, Аноним (-), 11:06, 08/06/2016 [^] [^^] [^^^] [ответить]  
  • –5 +/
    >mod_ssl собран статически с OpenSSL

    facepalm

     

  • 1.5, Аноним (-), 23:10, 07/06/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +6 +/
    Спасибо Хабру за предупреждение, поставил кастомный nginx ещё в конце мая
     
     
  • 2.6, Аноним (-), 23:20, 07/06/2016 [^] [^^] [^^^] [ответить]  
  • +7 +/
    Согласен, весьма и весьма вовремя предупредили.
    Тогда же начали делать тестовые сборки для вышеуказанного репо, позже добавили автоскачивание свежих версий libbrotli, openssl, nginx mainline- и stable-веток, автосборку и подписывание всего этого добра.
    Успели как раз всё выкатить в паблик до апокалипсиса.
     

  • 1.9, Аноним (-), 23:37, 07/06/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    обязательно надо всех переводить на новый опенссл, в старом уже бекдоров не осталось почти, инвесторы анб негодуют.
     
  • 1.11, OpensslNew (?), 23:52, 07/06/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    > openssl version

    OpenSSL 1.0.2h-fips  3 May 2016
    > nginx -v

    nginx version: nginx/1.11.1

    Хоромозеры over 51 level, welcome :-)

     
     
  • 2.12, Аноним (-), 23:57, 07/06/2016 [^] [^^] [^^^] [ответить]  
  • +/
    А теперь nginx -V 2>&1 | grep OpenSSL
     
     
  • 3.14, OpensslNew (?), 00:02, 08/06/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Веткой ошибся, смотри ниже ⬋
     
  • 2.15, h31 (ok), 00:02, 08/06/2016 [^] [^^] [^^^] [ответить]  
  • +/
    А FIPS нафига включил?
     

  • 1.13, OpensslNew (?), 00:00, 08/06/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > nginx -V 2>&1 | grep OpenSSL

    built with OpenSSL 1.0.2h  3 May 2016

     
  • 1.16, burik666 (ok), 00:11, 08/06/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Gentoo:
    built with OpenSSL 1.0.2h  3 May 2016
     
  • 1.20, Аноним (-), 02:46, 08/06/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А что будет? https останется работать, просто отвалится HTTP/2 и будет работать как HTTP/1? Или сайт не откроется вообще?

    У меня есть сайт с HTTP/2 и Chrome 51. Всё открывается как и раньше. Не вижу видимых никаких проблем с открытием сайта через Хром.

     
     
  • 2.21, xl32 (ok), 02:48, 08/06/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > А что будет? https останется работать, просто отвалится HTTP/2 и будет работать
    > как HTTP/1? Или сайт не откроется вообще?

    Будет работать как HTTP/1.1. Они отрубили NPN, убрали этот костыль, и теперь HTTP/1.1 не апгрейдится до HTTP/2.
    Оставили только ALPN, который согласовывает версию HTTP на этапе установки TLS-соединения.

     
     
  • 3.26, Andrey Mitrofanov (?), 10:28, 08/06/2016 [^] [^^] [^^^] [ответить]  
  • +/
    >> как HTTP/1? Или сайт не откроется вообще?
    > Будет работать как HTTP/1.1. Они отрубили NPN, убрали этот костыль, и теперь
    > HTTP/1.1 не апгрейдится до HTTP/2.

    О! Вот это нужно! Спасибо опенет за наводку!! А теперь нужно будет пол-системы патчить, чтобы пол-http отломать??  <///><

     
     
  • 4.27, xl32 (ok), 10:30, 08/06/2016 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Да. Или см. ссылки выше, использовать веб-сервера, статически слинкованные с OpenSSL 1.0.2 и бдительно следить за её свежестью.
     

  • 1.33, Аноним (-), 11:58, 08/06/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    Похоже centos 6/7 и debian 7/8 для зверей.
     
     
  • 2.34, xl32 (ok), 12:14, 08/06/2016 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Не для зверей. А просто поддержка 10 лет для бизнеса — необходимость и, более того, необходимый минимум.
     

  • 1.35, Аноним (-), 13:05, 08/06/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    PPA для Ubuntu Trusty 14.04 LTS:

    https://launchpad.net/~fxr/+archive/ubuntu/nginx-alpn

    Собран из официальных пакетов с nginx.org/packages, модифицированных для статической сборки с OpenSSL 1.0.2h. Только stable ветка nginx, за каждым релизом mainline поспевать сил не хватит.

     
     
  • 2.36, xl32 (ok), 13:08, 08/06/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Только stable ветка nginx, за каждым релизом
    > mainline поспевать сил не хватит.

    Могу поделиться исходниками наших обновляторов и сборщиков для CentOS, чтобы поспевать за всем автоматически.
    Модификаций там, думаю, будет требоваться немного.

     
     
  • 3.37, Аноним (-), 13:19, 08/06/2016 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Буду премного благодарен!

    mail сбк kbaryshnikov точка-ру

     
     
  • 4.38, xl32 (ok), 13:26, 08/06/2016 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Буду премного благодарен!

    Да чего там уже жадничать, держите, выложил в паблик.
    https://repo.codeit.guru/build.tools/

     
     
  • 5.39, Аноним (-), 13:26, 08/06/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Спасибо!
     
  • 5.43, Аноним (-), 15:16, 08/06/2016 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >> Буду премного благодарен!
    > Да чего там уже жадничать, держите, выложил в паблик.
    > https://repo.codeit.guru/build.tools/

    С ланчпадом и deb-ами все совсем иначе...  В общем, только вытягивалка openssl пригодилась. :-) Но все равно спасибо.

     
  • 2.40, Аноним (-), 14:19, 08/06/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > Только stable ветка nginx, за каждым релизом mainline поспевать сил не хватит.

    Посмотри в сторону webhook автоматизации деплоя и aptly https://www.aptly.info/

     
     
  • 3.42, Аноним (-), 15:15, 08/06/2016 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >> Только stable ветка nginx, за каждым релизом mainline поспевать сил не хватит.
    > Посмотри в сторону webhook автоматизации деплоя и aptly https://www.aptly.info/

    Спасибо за совет, но на Лапчпаде своя билд-ферма, туда достаточно исходники заливать.
    Я уже накостылил на шелле  проверялку-генерялку-заливалку, тестирую :-)

     

  • 1.47, XXXasd (ok), 21:05, 08/06/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    ну "отлично" оформлена новость :-) ..

    """В Chrome 51 наблюдаются проблемы с невозможностью использования HTTP/2"""

    потом читаешь текст и оказывается что в Chrome-51 проблем ни каких нет :-) .. а проблемы лишь на серверных сторонах

     
     
  • 2.48, Аноним (-), 22:34, 08/06/2016 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Поддержку предыдущей версии серверного софта сломали в Chrome, а не на сервере.
     
     
  • 3.49, Xasd (ok), 00:23, 09/06/2016 [^] [^^] [^^^] [ответить]  
  • +/
    HTTP/1.1 не ломали..

    поддержка HTTP/2 -- в соответствии со спецификацией..

    а совместимость с НЕправильным-HTTP/2 -- это как-то уже через-чур.. отсутствие этой совместимости -- ни сколько не является проблемой, а скорее наоборот -- очень правильный шаг..

    HTTPS и без того достаточно сложный протокол, чтобы ещё и заниматься поощрением зоопарков его вариантов реализаций. совершенно вероно что именно радикальный откат до HTTP/1.1 -- должен поисходить -- в случае если кто-то пытается разводить эти зоопарки :-)

     
     
  • 4.50, КО (?), 08:50, 09/06/2016 [^] [^^] [^^^] [ответить]  
  • +2 +/
    >HTTPS и без того достаточно сложный протокол, чтобы ещё и заниматься поощрением зоопарков

    Теперь никаких зоопарков. У клиента крокодилы у сервера аллигаторы. Вместе они не живут. :)
    Поэтому и те и другие используют мартышек оставшихся из старого зоопарка.

     

  • 1.51, Аноним (-), 15:49, 10/06/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Никто видимо не заметит как перехода на HTTP/2, так и отказа работать с ним.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру