Разработчики NGINX обратили (https://www.nginx.com/blog/supporting-http2-google-chrome-users/) внимание на проблему с прекращением использования HTTP/2 при обращении при помощи web-браузера Chrome 51 к большинству сайтов, доступных по протоколу HTTP/2. В Chrome 51 прекращена поддержка TLS-расширения NPN, развиваемого в паре с SPDY, на смену которому вместе с HTTP/2 пришло TLS-расширение ALPN. Большая часть сайтов, поддерживающих HTTP/2, работает под управлением nginx и LiteSpeed, в которых применяется реализация TLS из OpenSSL.

Проблема заключается в том, что поддержка ALPN появилась только в OpenSSL 1.0.2, который ещё почти не используется в популярных серверных дистрибутивах Linux. В частности, OpenSSL 1.0.2 присутствует только в Ubuntu 16.04, а в CentOS/RHEL 6.x/7.x, Debian 7.x/8.x и Ubuntu 14.04 применяется OpenSSL 1.0.1, который поддерживает только NPN. В качестве возможных решений проблемы предлагается сменить дистрибутив, вручную пересборать nginx с новым выпуском OpenSSL или запустить  nginx в контейнере с Ubuntu 16.04 LTS. В противном случае, пользователи Chrome 51 будут ограничены использованием HTTP/1.

URL: https://www.nginx.com/blog/supporting-http2-google-chrome-users/
Новость: http://www.opennet.me/opennews/art.shtml?num=44561

• В Chrome 51 наблюдаются проблемы с невозможностью использова...,Аноним, 23:04 , 07-Июн-16
  • В Chrome 51 наблюдаются проблемы с невозможностью использова...,MPEG LA, 00:46 , 08-Июн-16
    • В Chrome 51 наблюдаются проблемы с невозможностью использова...,Аноним, 10:57 , 08-Июн-16
• В Chrome 51 наблюдаются проблемы с невозможностью использова...,th3m3, 23:06 , 07-Июн-16
  • В Chrome 51 наблюдаются проблемы с невозможностью использова...,Аноним, 08:12 , 08-Июн-16
    • В Chrome 51 наблюдаются проблемы с невозможностью использова...,Andrey Mitrofanov, 10:23 , 08-Июн-16
  • В Chrome 51 наблюдаются проблемы с невозможностью использова...,Аноним, 15:05 , 08-Июн-16
• В Chrome 51 наблюдаются проблемы с невозможностью использова...,Аноним, 23:07 , 07-Июн-16
  • В Chrome 51 наблюдаются проблемы с невозможностью использова...,Нанобот, 09:06 , 08-Июн-16
    • В Chrome 51 наблюдаются проблемы с невозможностью использова...,xl32, 10:21 , 08-Июн-16
      • В Chrome 51 наблюдаются проблемы с невозможностью использова...,Аноним, 10:31 , 08-Июн-16
        • В Chrome 51 наблюдаются проблемы с невозможностью использова...,Andrey Mitrofanov, 10:41 , 08-Июн-16
          • В Chrome 51 наблюдаются проблемы с невозможностью использова...,xl32, 10:44 , 08-Июн-16
      • В Chrome 51 наблюдаются проблемы с невозможностью использова...,Аноним, 11:06 , 08-Июн-16
• В Chrome 51 наблюдаются проблемы с невозможностью использова...,Аноним, 23:10 , 07-Июн-16
  • В Chrome 51 наблюдаются проблемы с невозможностью использова...,Аноним, 23:20 , 07-Июн-16
• В Chrome 51 наблюдаются проблемы с невозможностью использова...,Аноним, 23:37 , 07-Июн-16
• В Chrome 51 наблюдаются проблемы с невозможностью использова...,OpensslNew, 23:52 , 07-Июн-16
  • В Chrome 51 наблюдаются проблемы с невозможностью использова...,Аноним, 23:57 , 07-Июн-16
    • В Chrome 51 наблюдаются проблемы с невозможностью использова...,OpensslNew, 00:02 , 08-Июн-16
  • В Chrome 51 наблюдаются проблемы с невозможностью использова...,h31, 00:02 , 08-Июн-16
• В Chrome 51 наблюдаются проблемы с невозможностью использова...,OpensslNew, 00:00 , 08-Июн-16
• В Chrome 51 наблюдаются проблемы с невозможностью использова...,burik666, 00:11 , 08-Июн-16
• В Chrome 51 наблюдаются проблемы с невозможностью использова...,Аноним, 02:46 , 08-Июн-16
  • В Chrome 51 наблюдаются проблемы с невозможностью использова...,xl32, 02:48 , 08-Июн-16
    • В Chrome 51 наблюдаются проблемы с невозможностью использова...,Andrey Mitrofanov, 10:28 , 08-Июн-16
      • В Chrome 51 наблюдаются проблемы с невозможностью использова...,xl32, 10:30 , 08-Июн-16
• В Chrome 51 наблюдаются проблемы с невозможностью использова...,Аноним, 11:58 , 08-Июн-16
  • В Chrome 51 наблюдаются проблемы с невозможностью использова...,xl32, 12:14 , 08-Июн-16
• В Chrome 51 наблюдаются проблемы с невозможностью использова...,Аноним, 13:05 , 08-Июн-16
  • В Chrome 51 наблюдаются проблемы с невозможностью использова...,xl32, 13:08 , 08-Июн-16
    • В Chrome 51 наблюдаются проблемы с невозможностью использова...,Аноним, 13:19 , 08-Июн-16
      • В Chrome 51 наблюдаются проблемы с невозможностью использова...,xl32, 13:26 , 08-Июн-16
        • В Chrome 51 наблюдаются проблемы с невозможностью использова...,Аноним, 13:26 , 08-Июн-16
        • В Chrome 51 наблюдаются проблемы с невозможностью использова...,Аноним, 15:16 , 08-Июн-16
  • В Chrome 51 наблюдаются проблемы с невозможностью использова...,Аноним, 14:19 , 08-Июн-16
    • В Chrome 51 наблюдаются проблемы с невозможностью использова...,Аноним, 15:15 , 08-Июн-16
• В Chrome 51 наблюдаются проблемы с невозможностью использова...,XXXasd, 21:05 , 08-Июн-16
  • В Chrome 51 наблюдаются проблемы с невозможностью использова...,Аноним, 22:34 , 08-Июн-16
    • В Chrome 51 наблюдаются проблемы с невозможностью использова...,Xasd, 00:23 , 09-Июн-16
      • В Chrome 51 наблюдаются проблемы с невозможностью использова...,КО, 08:50 , 09-Июн-16
• В Chrome 51 наблюдаются проблемы с использованием HTTP/2,Аноним, 15:49 , 10-Июн-16

Но есть лучший способ решить эту проблему: забить и подождать ещё годик-другой.

в последнее время это становится одним из лучших вариантов решения веб-проблем.

Растушее количество ботнетов на серверных линуксах, а точнее на не обновленных вовремя, серверных линуксах, гарантируют это.

Или предложить пользователям использовать браузер для людей, например Firefox.

Ничего, для уравновешивания ситуации разрабы FF полным ходом ухудшают его до потери конкурентноспособности.

> Ничего, для уравновешивания ситуации разрабы FF полным ходом ухудшают его до потери
> конкурентноспособности.

Зато у него в свете новости есть неоспоримое преимущество. Pазработчики NGINX INC. на него даже не посмотрят! Ура.

На компьютерах можно, но мобильный FF к использованию непригоден.

Для CentOS/RHEL специально делаем сборки NGINX и Apache.
https://codeit.guru/ru_RU/

SRPM доступны. Сами пользуемся для хостинга клиентских сервисов и сайтов.
Пршу критиковать и комментировать.

а объясните такой момент: что случится, если я поставлю эти пакеты на 6/7 центос, в котором нету openssl 1.0.2? не запустится? запустится, но не будет работать с http/2? или оно там статически слинковано и всё будет ок?

Да специально же для CentOS/RHEL mod_ssl собран статически с OpenSSL 1.0.2h.
В NGINX собран сам бинарь nginx статически, так что будет запускаться на CentOS/RHEL 6/7 и точно ничего (кроме веб-сервера, конечно) не зацепит проблемами бинарной совместимости.

> для CentOS/RHEL mod_ssl собран статически с OpenSSL 1.0.2h

ентепрайзненько!

>> для CentOS/RHEL mod_ssl собран статически с OpenSSL 1.0.2h
> ентепрайзненько!

Ммм... А mod_ssl собранного в отдельный дорккер-контейнер не завезли? "Будем искать."Ц

Я подумываю о разворачивании какого-нибудь пакета openssl102-1.0.2h-1.el7.rpm в /opt, чтобы было действительно энтерпрайзненько.
Чуть позже обкатаем и такие пакеты.

>mod_ssl собран статически с OpenSSL

facepalm

Спасибо Хабру за предупреждение, поставил кастомный nginx ещё в конце мая

Согласен, весьма и весьма вовремя предупредили.
Тогда же начали делать тестовые сборки для вышеуказанного репо, позже добавили автоскачивание свежих версий libbrotli, openssl, nginx mainline- и stable-веток, автосборку и подписывание всего этого добра.
Успели как раз всё выкатить в паблик до апокалипсиса.

обязательно надо всех переводить на новый опенссл, в старом уже бекдоров не осталось почти, инвесторы анб негодуют.

> openssl version

OpenSSL 1.0.2h-fips  3 May 2016
> nginx -v

nginx version: nginx/1.11.1

Хоромозеры over 51 level, welcome :-)

А теперь nginx -V 2>&1 | grep OpenSSL

Веткой ошибся, смотри ниже ⬋

А FIPS нафига включил?

> nginx -V 2>&1 | grep OpenSSL

built with OpenSSL 1.0.2h  3 May 2016

Gentoo:
built with OpenSSL 1.0.2h  3 May 2016

А что будет? https останется работать, просто отвалится HTTP/2 и будет работать как HTTP/1? Или сайт не откроется вообще?

У меня есть сайт с HTTP/2 и Chrome 51. Всё открывается как и раньше. Не вижу видимых никаких проблем с открытием сайта через Хром.

> А что будет? https останется работать, просто отвалится HTTP/2 и будет работать
> как HTTP/1? Или сайт не откроется вообще?

Будет работать как HTTP/1.1. Они отрубили NPN, убрали этот костыль, и теперь HTTP/1.1 не апгрейдится до HTTP/2.
Оставили только ALPN, который согласовывает версию HTTP на этапе установки TLS-соединения.

>> как HTTP/1? Или сайт не откроется вообще?
> Будет работать как HTTP/1.1. Они отрубили NPN, убрали этот костыль, и теперь
> HTTP/1.1 не апгрейдится до HTTP/2.

О! Вот это нужно! Спасибо опенет за наводку!! А теперь нужно будет пол-системы патчить, чтобы пол-http отломать??  <///><

Да. Или см. ссылки выше, использовать веб-сервера, статически слинкованные с OpenSSL 1.0.2 и бдительно следить за её свежестью.

Похоже centos 6/7 и debian 7/8 для зверей.

Не для зверей. А просто поддержка 10 лет для бизнеса — необходимость и, более того, необходимый минимум.

PPA для Ubuntu Trusty 14.04 LTS:

https://launchpad.net/~fxr/+archive/ubuntu/nginx-alpn

Собран из официальных пакетов с nginx.org/packages, модифицированных для статической сборки с OpenSSL 1.0.2h. Только stable ветка nginx, за каждым релизом mainline поспевать сил не хватит.

> Только stable ветка nginx, за каждым релизом
> mainline поспевать сил не хватит.

Могу поделиться исходниками наших обновляторов и сборщиков для CentOS, чтобы поспевать за всем автоматически.
Модификаций там, думаю, будет требоваться немного.

Буду премного благодарен!

mail сбк kbaryshnikov точка-ру

> Буду премного благодарен!

Да чего там уже жадничать, держите, выложил в паблик.
https://repo.codeit.guru/build.tools/

Спасибо!

>> Буду премного благодарен!
> Да чего там уже жадничать, держите, выложил в паблик.
> https://repo.codeit.guru/build.tools/

С ланчпадом и deb-ами все совсем иначе...  В общем, только вытягивалка openssl пригодилась. :-) Но все равно спасибо.

> Только stable ветка nginx, за каждым релизом mainline поспевать сил не хватит.

Посмотри в сторону webhook автоматизации деплоя и aptly https://www.aptly.info/

>> Только stable ветка nginx, за каждым релизом mainline поспевать сил не хватит.
> Посмотри в сторону webhook автоматизации деплоя и aptly https://www.aptly.info/

Спасибо за совет, но на Лапчпаде своя билд-ферма, туда достаточно исходники заливать.
Я уже накостылил на шелле  проверялку-генерялку-заливалку, тестирую :-)

ну "отлично" оформлена новость :-) ..

"""В Chrome 51 наблюдаются проблемы с невозможностью использования HTTP/2"""

потом читаешь текст и оказывается что в Chrome-51 проблем ни каких нет :-) .. а проблемы лишь на серверных сторонах

Поддержку предыдущей версии серверного софта сломали в Chrome, а не на сервере.

HTTP/1.1 не ломали..

поддержка HTTP/2 -- в соответствии со спецификацией..

а совместимость с НЕправильным-HTTP/2 -- это как-то уже через-чур.. отсутствие этой совместимости -- ни сколько не является проблемой, а скорее наоборот -- очень правильный шаг..

HTTPS и без того достаточно сложный протокол, чтобы ещё и заниматься поощрением зоопарков его вариантов реализаций. совершенно вероно что именно радикальный откат до HTTP/1.1 -- должен поисходить -- в случае если кто-то пытается разводить эти зоопарки :-)

>HTTPS и без того достаточно сложный протокол, чтобы ещё и заниматься поощрением зоопарков

Теперь никаких зоопарков. У клиента крокодилы у сервера аллигаторы. Вместе они не живут. :)
Поэтому и те и другие используют мартышек оставшихся из старого зоопарка.

Никто видимо не заметит как перехода на HTTP/2, так и отказа работать с ним.