https – Page 18 – Gea-Suan Lin's BLOG

Google 的 www.google.com 要上 HSTS 了

Google 宣佈 www.google.com 要上 HSTS 了：「Bringing HSTS to www.google.com」。

雖然都已經使用 EFF 的 HTTPS Everywhere 在跑確保 HTTPS，但這個進展還是很重要，可以讓一般使用者受到保護...

Google 的切換計畫是會逐步增加 HSTS 的 max-age，確保中間出問題時造成的衝擊。一開始只會設一天，然後會逐步增加，最後增加到一年：

In the immediate term, we’re focused on increasing the duration that the header is active (‘max-age’). We've initially set the header’s max-age to one day; the short duration helps mitigate the risk of any potential problems with this roll-out. By increasing the max-age, however, we reduce the likelihood that an initial request to www.google.com happens over HTTP. Over the next few months, we will ramp up the max-age of the header to at least one year.

Google 產品 (包括 YouTube) 使用 HTTPS 的情況

YouTube 公佈了 Google 產品使用 HTTPS 的情況，這次包括了 YouTube 在內：「YouTube's road to HTTPS」。

Netflix 與 YouTube 在北美是兩個最大的 internet 流量 (Netflix, YouTube video streaming dominate internet traffic in North America)，要注意的是 Netflix 也是全上 HTTPS (It wasn’t easy, but Netflix will soon use HTTPS to secure video streams)：

Netflix makes up a huge part of internet downloads, the company said, with the streaming service accounting for 37.1 per cent of all downstream traffic in North America during September and October.

YouTube accounted for the second-largest share of download traffic, at 17.9 per cent, followed by regular internet browsing at 6.1 per cent.

海外的部份 YouTube 就更高了，所以 YouTube 的 HTTPS rate 其實對整個 internet 很重要。而 YouTube 宣佈目前已經有 97% 的量上 HTTPS 了，應該是 Google 資料中心最大的流量：

We're proud to announce that in the last two years, we steadily rolled out encryption using HTTPS to 97 percent of YouTube's traffic.

Google Chrome 52 預設開啟了更快的 QUIC (被戲稱為 TCP/2)

在「Google’s QUIC protocol: moving the web from TCP to UDP」這篇前半部在介紹 QUIC (走 UDP 的 TLS)，後半部則提到了幾個重點。

首先是 Google Chrome 從 52 開始 (也就是現在的 stable 版) 預設會開啟 QUIC (以前是只有 Google 自家的 domain)，這讓採用的價值變高：

Since no one has QUIC support enabled by default in the client, you're probably still safe to run it and enable QUIC in your own browser(s). (Update: since Chrome 52, everyone has QUIC enabled by default, even to non-whitelisted domains)

再來是 QUIC 走 UDP/443：

Well, if we want to allow the QUIC protocol, we will need to allow 443/UDP too.

同時因為走的 Protocol 跟以前不同，所以我可以跑另外一隻 Server 服務使用者，目前只有 Caddy 有支援，雖然是實驗性質：

Right now, the only webserver that can get you QUIC is Caddy since version 0.9.

Both client-side and server-side support is considered experimental, so it's up to you to run it.

至少可以先把 firewall 打開了...

Let's Encrypt 支援 IPv6 了

Let's Encrypt 的公告出來了：「Full Support for IPv6」。

之前在看 http-01 challenge 時都是走 IPv4 認證，現在宣佈可以走 IPv6 了：

Let’s Encrypt is happy to announce full support for IPv6.

CloudFlare 提供的 SPDY + HTTP/2 patch 可以在 nginx 1.11 上面跑了...

SPDY 對行動裝置還是很重要，尤其是 Android 裝置在 5.0 之後才有支援 HTTP/2，但在 3.0 之後就有支援 SPDY，也就是超過一半的 Android 用戶只有 SPDY 但沒有 HTTP/2 能力：

查資料的時候發現當初 CloudFlare 提供的 SPDY + HTTP/2 patch 本來只能對 nginx 1.9.7 更新 (參考之前寫的「CloudFlare 放出可以同時支援 HTTP/2 與 SPDY 的 nginx patch」)，後來有人再更新到 1.9.15，而在留言的地方也可以看到有人回報在 1.11.0 上面可以跑：「Update NGINX SPDY patch for 1.9.15」：

Works fine against nginx 1.11.0 and OpenSSL 1.0.2h (with ChaCha20 patch). I am building nginx as an Ubuntu 16.04 package.

而最新版 1.11.1 只有一個安全性更新，應該也可以跑... 來找看看會不會有人包 ppa 出來。

在 Ubuntu 14.04 上執行支援 ALPN 的 nginx

在「Migrate to Ubuntu 16.04」這邊看到換 16.04 的理由：

支援 http2 是升級到 Ubuntu 16.04 很大的動機。原因是前一版 14.04 裡 openssl 太舊，不支援 ALPN 協定，Chrome 瀏覽器又放棄了 NPN 的舊協定，詳細。你要嘛自己編譯 nginx ，要嘛就是升級到 16.04 才能解決。選哪個方法就看各公司的政策，升了 OS 問題就直接解決了。

不過 Ondřej Surý 包了一個有新版 openssl 的套件出來，所以在 12.04 或是 14.04 都可以使用 ALPN 版本的 nginx：「PPA for NGINX with HTTP/2 on Ubuntu 12.04 LTS and higher」。

目前 16.04 上的 Puppet 爛了不少東西，還是得靠 14.04 吃飯... orz

GitHub Pages 正式支援 HTTPS

GitHub 正式宣佈支援 HTTPS：「HTTPS for GitHub Pages」。

其實對使用者來說，前面的 CDN 伺服器已經支援 HTTPS 很久了，但因為之前從 CDN 到 GitHub 這端沒加密，所以一直都不算是正式支援：

You have been able to request Pages sites over HTTPS for some time, but we refrained from officially supporting it because the traffic from our CDN to our servers wasn't encrypted until now.

另外，新建立的 GitHub Pages 都強制上 HTTPS：

Starting next Wednesday (June 15, 2016, 12pm PDT), HTTPS enforcement will be required for all new GitHub Pages sites.

Dropbox 從 SPDY 切換到 HTTP/2 發現的現象

Dropbox 將本來的 SPDY 切換到 HTTP/2 後整理了不少資料：「Enabling HTTP/2 for Dropbox web services: experiences and observations」。

大多數都是效能的改善，但「Increased latency for POST requests.」這段頗有趣的，找出了 nginx 的 bug：

POST 的 latency 大約增加了 50%，而實際追蹤問題發現是 nginx 中 SETTINGS_INITIAL_WINDOW_SIZE 預設值的問題，然後提出 patch 改善：「[nginx] HTTP/2: rewritten handling of request body.」：

There is a small issue with setting `SETTINGS_INITIAL_WINDOW_SIZE` to 0: now when client tries to POST data it needs to wait for an additional RTT(between `send HEADERS` and `recv WINDOW_UPDATE`) to start sending data.

CloudFlare 放出可以同時支援 HTTP/2 與 SPDY 的 nginx patch

CloudFlare 放出可以同時支援 HTTP/2 與 SPDY 的 nginx patch：「Open sourcing our NGINX HTTP/2 + SPDY code」。

不過 patch 的版本有點舊：

We've extracted our changes and they are available as a patch here. This patch should build cleanly against NGINX 1.9.7.

如同原文下面 comment 提到的問題，nginx 1.9.7 太舊了 (2015/11/17 放出的版本)，到現在有出了不少安全性更新，以及對 HTTP/2 的 bugfix。應該會需要再等官方把新版的 patch 拿出來改之後才能用。

Blogger (Blogspot) 全面提供 HTTPS 版本

Google 主動啟用了 HTTPS 版本：「Bringing HTTPS to all blogspot domain blogs」，預設會將 HTTPS 開起來：

As part of this launch, we're removing the HTTPS Availability setting. Even if you did not previously turn on this setting, your blogs will have an HTTPS version enabled.

另外提供 HTTPS Redirect 的選項，可以將訪客自動轉到 HTTPS 上：

custom domain 的部份不知道會怎麼提供...