Help us understand the problem. What is going on with this article?

EC2+nginxでhttp2対応できたとおもったらできてなかった話。(解決します)

More than 3 years have passed since last update.

ssl対応でサイトパフォーマンスがあがるらしい

あるサイトのはじめてのSSL対応の作業中、「SSL対応するとはやくなるで!!という記事を見つけました。

いわく、

Web サイトのパフォーマンスについて、「SSL 化でパフォーマンスが悪化する可能性」 と、一方で 「HTTP/2 や SPDY が利用可能な状況では SSL 化でパフォーマンスが向上する可能性」 という両方の可能性

だそうです。
なるほど、本来ならSSLで接続するとパフォーマンスが悪化する(SSLハンドシェイクなどによる)けど、HTTP/2やSPDYを使うとパフォーマンスが向上するんか!

じゃあSSL接続もさることながら、HTTP/2やSPDY対応させなければ!!

SPDYでサイトにアクセスできるようにする

EC2上で動いているnginxのバージョンをたしかめてみたところ、1.8.1とのこと。
めでたくSPDYに対応しておりました。
SSL化をチャチャッと済ませて、SPDY対応したろ〜と、とりあえずSPDYに対応させました。

hoge.conf
server {
    listen 443 default ssl spdy;
    ssl on;
    ssl_certificate      /etc/nginx/ssl/server.ssl.pem;
    ssl_certificate_key  /etc/nginx/ssl/server.key;
    :
    :

よっしゃこれではやくなるわ!!
とおもっていた矢先でした。

ChromeのSPDYサポートが終了(していた)

今、Googleは同社のブラウザー、ChromeからSPDY対応を外す準備が整い、5月15日でChromeのSPDYサポートを終了すると発表した。
Chrome、SPDYのサポートを5月15日に終了 | TechCrunch Japan

わあ〜〜〜。
ま、まあ落ち着いてgoogle analytics見てみよう...。chrome少なければ良いよね別に...。

スクリーンショット 2016-06-27 20.21.50.png

ですよね。
少ないわけもなく、HTTP/2に対応せざるを得んと心の中で決意するのでした。

nginxのアップデート

さて、SPDYをあきらめて、HTTP/2の対応をしていきます。

前置き

この項は、新しくnginxをインストールする際にopensslを指定しないといけないと気づいただけなので、流し読み程度で大丈夫です。

nginxをソースからインストール

HTTP/2をnginxで対応させるためにはバージョン1.9.5からだそうです。
EC2上のnginxは前述の通り1.8.1
残念なことに対応していなかったのでアップデートします。

# yum update nginx

が!
EC2(Amazon linux)の標準リポジトリではnginxの最新バージョンが1.8.1ですので、アップデートできませんでした。
なのでソースからインストールしていきます。

$ sudo yum install pcre pcre-devel pcre-devel zlib-devel openssl-devel
$ wget http://nginx.org/download/nginx-1.10.1.tar.gz
$ tar -xvzf nginx-1.10.1.tar.gz
$ cd nginx-1.10.1
$ ./configure --with-http_ssl_module --with-http_v2_module 
$ make
$ sudo make install

/usr/local/nginx/sbin/nginxにインストールされているので
/etc/init.d/nginxを変更しときましょう。

$ nginx -v
nginx version: nginx/1.10.1

できた!
HTTP/2に対応するnginxだ!!

設定ファイル編集もできた!

hoge.conf
server {
    listen 443 default ssl http2;
    ssl on;
    ssl_certificate      /etc/nginx/ssl/server.ssl.pem;
    ssl_certificate_key  /etc/nginx/ssl/server.key;
    :
    :

そして運命の時

ちゃんとできてるか確認のために、chromeの拡張機能を入れておきましょう。
HTTP/2 and SPDY indicator - Chrome ウェブストア

早速nginxを起動してアクセスしてみます。

スクリーンショット 2016-06-27 20.40.28.png

あれ。拡張機能壊れてるのかな??
ちなみに、firefoxだと現在(2016/06)、HTTP/2で接続をしてくれています。
(あとで気づいたのですが、chromeは2016/05/31からNPNやめてALPN一筋です。)

opensslをアップデートしなければならない

そういえば、さっきSPDYについて調べていた時に、

Googleが提案したTLSのNPN(Next Protocol Negotiation)拡張を利用することで実現しています。この拡張仕様は、現在IETFにドラフト仕様が提出されており、既にオープンソースのOpenSSLに実装されている機能です。
Web表示の高速化を実現するSPDYとHTTP/2.0の標準化 | 最新の技術・取り組み | IIJ

とありました。
さらに、

なお現在仕様検討中のHTTP/2.0では、NPNの手順を改良したALPN(Application Layer Protocol Negotiation)仕様を利用することが採用されています。
Web表示の高速化を実現するSPDYとHTTP/2.0の標準化 | 最新の技術・取り組み | IIJ

とあります。

なーるほど。opensslがALPN対応してないようです。
ここにたどり着くまでかなり時間つかいました。

例のごとくバージョンチェックです。

$ openssl version
OpenSSL 1.0.1k-fips 8 Jan 2015

案の定ですorz
ALPN対応は1.0.2からですorz

アップデートしなければなりません。
と思ったのですが、opensslを指定してnginxをインストールすることが可能ですので今回はそうします。

$ wget https://www.openssl.org/source/openssl-1.0.2h.tar.gz
$ tar -xvzf openssl-1.0.2h.tar.gz 

きちんとopensslを指定してインストールします。

$ cd
$ cd nginx-1.10.1
$ ./configure --with-http_ssl_module --with-http_v2_module --with-openssl=/home/username/openssl-1.0.2h
$ make
$ sudo make install

nginxをrestartしてアクセスします。どきどき。

スクリーンショット 2016-06-27 21.04.15.png

救われました。

きちんとHTTP/2、ALPN対応したか確認したい場合は
HTTP/2 Test | A simple HTTP/2.0 test toolでどうぞ

さいごに

読みづらくてすみませんでした。
サーバーサイドのことはもちろん、文を書くのも不慣れですし、最新の情報に疎かったため非常に難儀しました。
もし、間違い、アドバイス、オススメのサイトなどありましたら、教えていただけると嬉しいです。

参考(ありがとうございました)

yum は止めて nginx をソースからインストールする | 脳無しの呟き《土鍋と麦酒と炬燵猫》
常時 SSL 化による Web サイト表示速度向上の可能性について | WWW WATCH
Web表示の高速化を実現するSPDYとHTTP/2.0の標準化 | 最新の技術・取り組み | IIJ
The day Google Chrome disables HTTP/2 for nearly everyone: May 31st, 2016

campfirejp
国内最大の流通を誇るクラウドファンディングサービス「CAMPFIRE」の企画・開発・運営を行うスタートアップです
https://camp-fire.jp
Why not register and get more from Qiita?
  1. We will deliver articles that match you
    By following users and tags, you can catch up information on technical fields that you are interested in as a whole
  2. you can read useful information later efficiently
    By "stocking" the articles you like, you can search right away
Comments
No comments
Sign up for free and join this conversation.
If you already have a Qiita account
Why do not you register as a user and use Qiita more conveniently?
You need to log in to use this function. Qiita can be used more conveniently after logging in.
You seem to be reading articles frequently this month. Qiita can be used more conveniently after logging in.
  1. We will deliver articles that match you
    By following users and tags, you can catch up information on technical fields that you are interested in as a whole
  2. you can read useful information later efficiently
    By "stocking" the articles you like, you can search right away
ユーザーは見つかりませんでした