Я пишу конфиг nginx, и у меня есть фундаментальный вопрос.
Каковы различия между:
listen 443 ssl;против listen [::]:443 ssl;противlisten [::]:443 ssl http2;
Моя цель - обеспечить безопасность этого веб-приложения, но также поддерживать совместимость со старыми клиентами.
Примечание: я понимаю, что [::]:443это связано с ipv6, но охватывает ли он также ipv4 в этом случае? Хочу прояснить мои концепции.
listen 443 ssl: заставляет nginx прослушивать все адреса ipv4 на сервере, через порт 443 ( 0.0.0.0:443)
пока
listen [::]:443 ssl: заставляет nginx прослушивать все адреса ipv6 на сервере, через порт 443 ( :::443)
[::]:443не заставит nginx отвечать на ipv4 по умолчанию, если вы не укажете параметр ipv6only=off:
listen [::]:443 ipv6only=off;
Согласно документу: http://nginx.org/en/docs/http/ngx_http_core_module.html#listen
ssl:
Параметр ssl (0.7.14) позволяет указать, что все соединения, принятые на этом порту, должны работать в режиме SSL.
http2:
Параметр http2 (1.9.5) настраивает порт на прием соединений HTTP / 2 .
Это не значит, что он принимает только HTTP / 2 соединения.
Согласно RFC7540
Клиент, который делает запрос на «http» URI без предварительного знания о поддержке HTTP / 2 при следующем переходе, использует механизм обновления HTTP. Клиент делает это, отправляя запрос HTTP / 1.1, который включает в себя поле заголовка Upgrade с токеном "h2c".
Сервер, который не поддерживает HTTP / 2, может ответить на запрос, как если бы поле заголовка обновления отсутствовало.
HTTP/1.1 200 OK Content-Length: 243 Content-Type: text/htmlСервер, который поддерживает HTTP / 2, принимает обновление с ответом 101 (Switching Protocols). После пустой строки, которая завершает ответ 101, сервер может начать отправку кадров HTTP / 2.
Подвести итоги :
Клиент, который не поддерживает HTTP / 2, никогда не будет запрашивать у сервера обновление связи HTTP / 2: связь между ними будет полностью HTTP1 / 1.
Клиент, поддерживающий HTTP / 2, запросит у сервера (используя HTTP1 / 1) обновление HTTP / 2:
Может быть, более кратко изложено здесь: http://qnimate.com/http2-compatibility-with-old-browsers-and-servers/
Однако в документе nginx говорится о HTTP / 2 через TLS:
Обратите внимание, что для принятия соединений HTTP / 2 через TLS требуется поддержка расширения TLS «Согласование протокола уровня приложения» (ALPN), которое доступно только с версии OpenSSL 1.0.2.
Убедитесь, что старые клиенты соответствуют этому требованию.
Существует опция, ipv6onlyкоторая определяет, применяется ли адрес IPv6 к IPv4. По умолчанию он включен (что означает, что нет).
В руководстве говорится, что его можно установить только один раз, что, я думаю, означает, что если вы отключите его в одной listenдирективе, оно отключится для всех.
Смотрите этот документ для деталей.