如何不启用 https, http/2 怎么启用呢?找了很多资料都没有详细说明呀。。。

2016-07-02 09:10:42 +08:00
 qcloud
4687 次点击
所在节点    问与答
15 条回复
vibbow
2016-07-02 09:16:43 +08:00
虽然从技术标准上讲 http/2 是不依赖 https 的。
但是从实现上讲,大家都主动选择了不实现基于 http 的 http/2 。
jasontse
2016-07-02 09:23:45 +08:00
默认还没有浏览器支持 h2c
Zohar
2016-07-02 09:55:01 +08:00
为何不启用 HTTPS 呢?
qcloud
2016-07-02 10:03:35 +08:00
@Zohar 因为这边自建的 CDN ,如果要开启 https ,需要很多钱
yeyeye
2016-07-02 10:15:22 +08:00
@qcloud 浏览器和服务器是否支持是最大的问题 而不是你的想法

就目前的情况看 是不支持的。(具体每个细节是怎样不知道 反正就是不支持不支持不支持)
yeyeye
2016-07-02 10:16:08 +08:00
讲真的 如果不用 HTTPS 也支持那真的是极好的 反正我觉得很多人都这样期待
qgy18
2016-07-02 10:34:50 +08:00
HTTP/2 协议本身并没有规定它必须基于 TLS 部署,没有安全层的 HTTP/2 被称之为 h2c ( HTTP/2 Cleartext )。

但目前来看,所有浏览器都不打算支持 h2c 。

如果一个系统的某些环节对安全没有那么高的要求,或者已经通过了其它方案确保了安全,并且客户端和服务端都是自己控制的,部署 h2c 也是一个非常好的选择。

现在很多 HTTP/2 工具和类库同时支持 h2 和 h2c ,完整清单见这里: https://github.com/http2/http2-spec/wiki/Implementations

我的这篇文章就讲到了如何通过 nghttp 这个工具访问 h2c 网站。 https://imququ.com/post/intro-to-nghttp2.html#toc-1

简而言之,各大浏览器几乎可以确定不会支持 h2c 。如果服务端和客户端都是自己控制的,那就可以放心大胆的用 h2c 了。
shyling
2016-07-02 10:43:38 +08:00
浏览器不支持啊
dndx
2016-07-02 10:51:30 +08:00
HTTP/2 一开始强推 mandatory TLS ,后来因为政治原因妥协。不过浏览器厂商都是心照不宣的不支持 h2c 导致完全没有达到标准制定者希望的效果。
processzzp
2016-07-02 11:10:10 +08:00
@yeyeye 期待的恐怕就你一个人吧。 HTTP 明文流量现在被运营商的各种缓存系统、广告系统随便艹:加小尾巴、插 JS 、弹广告都是家常便饭。有什么理由不用 TLS ?

不靠谱的推测一下,莫非阁下是既得利益者咯?
xhowhy
2016-07-02 11:51:03 +08:00
不支持好哇
gamexg
2016-07-02 12:32:01 +08:00
浏览器都打算把不安全的 ssl 关掉,更别说 h2c 了
yeyeye
2016-07-02 13:00:40 +08:00
@processzzp

“ HTTP 明文流量现在被运营商的各种缓存系统、广告系统随便艹:加小尾巴、插 JS 、弹广告都是家常便饭。”
很像之前一个很火的论调 “女性被强奸是穿太少的缘故 而不是强奸犯的缘故(当法律不惩罚或者无法惩罚强奸犯时) 所以女性一定要注意自己的形象 不要被盯上(就算强奸犯得到惩罚 也还是有很多人受害了)”
浏览器和 Web 服务器都没有国产的,在国外劫持难道也像国内这样猖狂?我相信不至于。 HTTP2 的技术标准没有注明需要或者必要加密。那么不遵循标准为什么反而是一件对的事情呢?


“有什么理由不用 TLS ? ”
成本,我在用的虚拟主机不支持,为什么用虚拟主机?成本,操作简单满足需求无需维护,时间也是一种成本不是么。为什么虚拟主机服务商不支持?也是成本。用 VPS 不就好了?比如我一个 100 块的虚拟主机 就满足我的需求了(性能 网速 流量 稳定性 ),我当然不会去买很多人说的“很便宜很实惠”的 Linode 。因为对我来说,它一个月的费用,够我用一年了,我也不说什么浪费不浪费之类的。(一般需要独立 IP 的虚拟主机才支持 SSL 证书,但是独立 IP 对我而言也没其他用)
那么这到底是谁的错?应该怪咱们生活在一个充满劫持的国家, IDC 却没有加密意识。 SSL 证书免费了我们虚拟主机用户却不能用。要么面板不支持,要么根本不开放。免费证书来了, IDC 却不愿意支持, SNI 可以一个 IP 同个端口放多个 HTTPS 站点, IDC 却不支持。

我的观点“我非常想用 HTTPS ”
但是一个独立 IP 或者一个 VPS 给我真的也没其他用,就像很多人买了树莓派,最后不也是只能吃灰吗?因为不适合自己啊。并不是它不好。所以我不想花那个钱,国外 VPS 真的很便宜,但是又受某墙的影响或者直接是线路抽风。国内线路好啦,不用绕全球啦,手续麻烦费用贵。 Linode 一个 10 刀的 VPS ,国内能买到啥……一个 VPS 还限制备案数量……我多几个域名还没地方备案了,总不能多买几个 vps 只是为了备案吧?

“穷人就没资格吗?”
是的 根据研究发现 V2EX 会员中 去犯罪的人很少 而贫穷地区 犯罪却很常见 于是………… HTTP2 就只给我们这些好人用吧 那些人还是算了 这是歧视嘛? 标准里明明是可以支持的!他们却不提供,却是我们的错???这是什么逻辑。

“不靠谱的推测一下,莫非阁下是既得利益者咯?”
讲真的,我觉得劫持网络放广告,其直接和不太远的间接受益者,全都该拉出去五马分尸喂蚂蚁。不得善终。这样你满意了吗?

“更好的方式?”
制定标准,浏览器禁止 web 不使用 HTTPS ,很快 IDC 都会更新规则支持它,因为这很符合你的观点,“有什么理由不用 TLS ? ”。
这也是我非常期待的。 HTTPS 是一个很简单,成本很低,安全性却很高的东西。我非常期待它的普及。但是这不代表我就不希望它能支持非 HTTPS 站点。我就是不想架个站点,还得跑去找 SSL 证书机构登记,受他们的约束拿证书。因为本质上这样很麻烦,与备案同类,只是一个是五十步,一个是一百步而已。
qcloud
2016-07-02 13:26:06 +08:00
@yeyeye 累吗兄弟,哈哈哈
Andy1999
2016-07-02 15:05:41 +08:00
只是因为浏览器不支持罢了

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/289749

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX