Auteur Sujet: http/2: Mécanisme de négociation http2 vs http1.1 dans un GET https  (Lu 50445 fois)

0 Membres et 1 Invité sur ce sujet

vivien

  • Administrateur
  • *
  • Messages: 47 079
    • Twitter LaFibre.info
http/2: Mécanisme de négociation http2 vs http1.1 dans un GET https
« Réponse #12 le: 10 février 2016 à 12:47:03 »
Les versions LTS (Long Term support) sont les seules fortement utilisé pour l'hébergement (certains hébergent ne proposent qu'elles) et donc louper http/2 pour la version 2016, indique que la majorité des utilisateurs vont attendre 2018 et Ubuntu 18.04 LTS pour mettre http/2.

Il est bien sur possible de faire du http/2 sans attendre, mais de nombreuses personnes sont frileuses dans l'ajout de PPA (Personal Package Archives) voir même de paquets "universe" (coucou nginx), de peur de ne pas avoir une réactivité suffisant face aux failles de sécurité.

kgersen

  • Modérateur
  • Abonné Bbox fibre
  • *
  • Messages: 9 078
  • Paris (75)
http/2: Mécanisme de négociation http2 vs http1.1 dans un GET https
« Réponse #13 le: 10 février 2016 à 13:07:38 »
on a une garantie de réactivité sur les LTS d'Ubuntu plus que sur nginx ? je ne suis pas sur.

Apres y'a Docker maintenant, donc on peut très bien isoler les services 'je n'ai pas confiance' sur une base LTS connue sans pour autant avoir la lourdeur d'ajouter une vraie VM.

D'ailleurs a terme, toutes les distros linux vont surement disparaître...mais au quotidien on n'en est pas encore la.

Marin

  • Client Bbox vdsl
  • Modérateur
  • *
  • Messages: 2 804
  • 73
http/2: Mécanisme de négociation http2 vs http1.1 dans un GET https
« Réponse #14 le: 10 février 2016 à 13:14:42 »
D'ailleurs a terme, toutes les distros linux vont surement disparaître...

tu qoi ?

vivien

  • Administrateur
  • *
  • Messages: 47 079
    • Twitter LaFibre.info
http/2: Mécanisme de négociation http2 vs http1.1 dans un GET https
« Réponse #15 le: 10 février 2016 à 13:27:49 »
Pour de nombreuses entreprises (avec une stratégie qui demande des garanties sur les mise à jour de sécurité), seul les dépôts Main et Restricted sont utilisés, donc limitation à Apache 2.4 officiel. Le support des dépôts Main / Restricted sont reconnus pour être mis à jour rapidement à chaque faille de sécurité et ce pendant la durée de vie prévue.

- Sections Main et Restricted, maintenues par les développeurs d'Ubuntu : Les sections main (paquets tout à fait libres) et restricted (paquets non-libres) contiennent des paquets maintenus par les développeurs d'Ubuntu pour toute la durée de vie de la version d'Ubuntu que vous utilisez.

- Sections Universe et Multiverse, maintenues par les MOTU : Les sections universe et multiverse des dépôts officiels contiennent des paquets maintenus par la communauté. La Fondation Ubuntu ne contrôle pas ces paquets ; ils sont analysés par un comité d'utilisateurs. La section universe contient uniquement des paquets libres et la section multiverse, des paquets non-libres.

- PPA : En aucun cas, les paquets en provenance d'un PPA ne sont maintenus par Canonical, Ils ne bénéficient non plus de la validation officielle Ubuntu, ni du support des développeurs des équipes officielles Ubuntu.

vivien

  • Administrateur
  • *
  • Messages: 47 079
    • Twitter LaFibre.info
http/2: Mécanisme de négociation http2 vs http1.1 dans un GET https
« Réponse #16 le: 10 février 2016 à 21:38:00 »
La suppression du mod http/2 de Apache 2.4.18 n'est pas un oubli: c'est une suppression volontaire (je n'ai pas compris pourquoi)

    - Don't build experimental http2 module for LTS:
      + debian/control: removed libnghttp2-dev Build-Depends (in universe).
      + debian/config-dir/mods-available/http2.load: removed.


Source : https://launchpad.net/ubuntu/xenial/+source/apache2/+changelog

L'auteur de la suppression de http/2 est Marc Deslauriers (Un salarié de Canonical qui est "Ubuntu Security Engineer" et qui était consultant en sécurité chez un grand FAI, avant de passer chez Canonical). J'imagine qu'il y a des pb de sécurité dans la décision de supprimer http/2.

Coté Debian unstable, http/2 semble bien présent : http://metadata.ftp-master.debian.org/changelogs/main/a/apache2/apache2_2.4.18-1_changelog

jack

  • Professionnel des télécoms
  • *
  • Messages: 1 674
  • La Madeleine (59)
http/2: Mécanisme de négociation http2 vs http1.1 dans un GET https
« Réponse #17 le: 10 février 2016 à 21:39:12 »
Je crois que le mot clé est "experimental" :)

vivien

  • Administrateur
  • *
  • Messages: 47 079
    • Twitter LaFibre.info
http/2: Mécanisme de négociation http2 vs http1.1 dans un GET https
« Réponse #18 le: 11 février 2016 à 15:39:59 »
Cadeau  ;D
http://packages.ubuntu.com/fr/xenial/httpd/nginx-full

Ah oui ? J'ai fini par passer sur nginx (je suis pas fan, mais pour http/2, je migre).

J'ai installé http://packages.ubuntu.com/fr/xenial/httpd/nginx qui a un support officiel de Canonical, avec maj de sécurités.

Il manque --with-http_v2_module à la compilation de nginx :
# nginx -V
nginx version: nginx/1.9.10 (Ubuntu)
built with OpenSSL 1.0.2e 3 Dec 2015 (running with OpenSSL 1.0.2f  28 Jan 2016)
TLS SNI support enabled
configure arguments: --with-cc-opt='-g -O2 -fPIE -fstack-protector-strong -Wformat -Werror=format-security -Wdate-time -D_FORTIFY_SOURCE=2' --with-ld-opt='-Wl,-Bsymbolic-functions -fPIE -pie -Wl,-z,relro -Wl,-z,now' --prefix=/usr/share/nginx --conf-path=/etc/nginx/nginx.conf --http-log-path=/var/log/nginx/access.log --error-log-path=/var/log/nginx/error.log --lock-path=/var/lock/nginx.lock --pid-path=/run/nginx.pid --http-client-body-temp-path=/var/lib/nginx/body --http-fastcgi-temp-path=/var/lib/nginx/fastcgi --http-proxy-temp-path=/var/lib/nginx/proxy --http-scgi-temp-path=/var/lib/nginx/scgi --http-uwsgi-temp-path=/var/lib/nginx/uwsgi --with-debug --with-pcre-jit --with-ipv6 --with-http_ssl_module --with-http_stub_status_module --with-http_realip_module --with-http_auth_request_module --with-http_addition_module --with-http_dav_module --with-http_geoip_module --with-http_gunzip_module --with-http_gzip_static_module --with-http_image_filter_module --with-http_sub_module --with-http_xslt_module --with-stream --with-stream_ssl_module --with-mail --with-mail_ssl_module --with-threads


La suppression de http/2 dans nginx est demandé par l'équipe en charge de la sécurité Ubuntu :

      - Remove HTTP/2 references in package descriptions, per Ubuntu Security Team mandate to disable HTTP/2 support.
    - debian/rules:
      - Disable HTTP/2 module support in all flavors, per Ubuntu Security Team mandate.


Source : https://launchpad.net/ubuntu/xenial/+source/nginx/+changelog

mirtouf

  • Abonné Bbox fibre
  • *
  • Messages: 1 297
  • Chelles (77)
    • L'antre de la bête
http/2: Mécanisme de négociation http2 vs http1.1 dans un GET https
« Réponse #19 le: 11 février 2016 à 16:40:40 »
Bon bah, go debian alors ou compilation de Apache 2.4.

buddy

  • Expert
  • Abonné Free fibre
  • *
  • Messages: 15 096
  • Alpes Maritimes (06)
http/2: Mécanisme de négociation http2 vs http1.1 dans un GET https
« Réponse #20 le: 11 février 2016 à 16:50:57 »
Go debian je dirais ;)

kgersen

  • Modérateur
  • Abonné Bbox fibre
  • *
  • Messages: 9 078
  • Paris (75)
http/2: Mécanisme de négociation http2 vs http1.1 dans un GET https
« Réponse #21 le: 11 février 2016 à 17:10:43 »
go Docker ?  :P

mirtouf

  • Abonné Bbox fibre
  • *
  • Messages: 1 297
  • Chelles (77)
    • L'antre de la bête
http/2: Mécanisme de négociation http2 vs http1.1 dans un GET https
« Réponse #22 le: 11 février 2016 à 19:32:21 »
aussi !

vivien

  • Administrateur
  • *
  • Messages: 47 079
    • Twitter LaFibre.info
http/2: Mécanisme de négociation http2 vs http1.1 dans un GET https
« Réponse #23 le: 11 février 2016 à 20:41:52 »
Et sinon, vous avez compris le pb de sécurité soulevé par http/2 ? (visiblement ce n'est pas l'implèmentation dans un navigateur qui pose pb mais http/2 de manière globale)