このサイトを http2 対応した
今まで http だったこのサイトを http2 対応しました。 静的ファイルもそうですが、このサイトで動いている kibana が体感で速くなった気がします(計測すればよかった)。 SSL 証明書は最近流行りの Let’s Encrypt ではなくて、温かみのある StartSSL で取得しました。パスワードではなく、証明書でのログインがいいですね。 どちらも無料で取得できます。前者はコマンドラインから取得できるが構成管理難しめ、後者はサイト上から手作業で取得が必要だが構成管理は容易、というおおざっぱな違いがあります。 今回学んだことは 「出来るだけ https 対応してから http2 対応すべし」 でした。雑に http2 にしたら 403 Forbidden や、Chrome で ERR_SPDY_INADEQUATE_TRANSPORT_SECURITY が発生しハマりました。 あとは 「早く寝ろ」 でしょうか。日曜日の後半は完全に頭が働いていませんでした…。 nginx の設定では主に以下を学びました。 ssl_session_cache 高速化のため、セッションキャッシュを設定する ssl_ciphers より安全にするため、暗号化スイートを明示的に設定する ssl_dhparam より安全にするため、DH パラメータファイルを指定する add_header Strict-Transport-Security より安全にするため、HSTS を用いて常に HTTPS 通信を行う HTTP Strict Transport Security 以下、作業メモです。 2016-03-13(日) 金曜日の社内勉強会で http2 の話 を聞いたこともあり、16:00 頃突然 masutaka.net http2 化の意欲が湧いてきた。この時点ではすぐ出来るだろと思っていた Chef での構成管理がしやすそうな StartSSL で Class 1 の証明書を取得した。必要な CSR(Certificate Signing Request)はほぼ指示通りの以下のコマンドで作成した...