ERR_EMPTY_RESPONSE 使用 Ghost 0.7.5、Nginx 1.9、HTTPS 和 HTTP/2

ERR_EMPTY_RESPONSE with Ghost 0.7.5, Nginx 1.9, HTTPS and HTTP/2

问题

当我点击 kevinsuttle.com 时,我得到

"No data received ERR_EMPTY_RESPONSE".

当我点击 https://kevinsuttle.com 时,我得到了网站。

幽灵 0.7.5
nginx 1.4 => 1.9.9
letsencrypt 0.2.0

数字海洋: Ubuntu 14.04 Ghost 1-click droplet

Networking > Domains 下,我有 kevinsuttle.comwww.kevinsuttle.com 作为指向服务器 IP 地址的 A 记录(@).

DNS简单记录

| Type  | Name                  | TTL               | Content                   |
|------ |---------------------  |---------------    |------------------------   |
| URL   | www.kevinsuttle.com   | 3600 (1 hour)     | http://kevinsuttle.com    |  

Ghost config.js 中唯一修改的部分是我的域。

url: 'http://kevinsuttle.com',

Nginx 1.9

nginx 1.9 默认不创建以下目录:
/etc/nginx/sites-available
/etc/nginx/sites-enabled

并且通常的 default conf 没有在这两个目录中创建。

取而代之的是 etc/nginx/conf.d/default.conf 和重要的 etc/nginx/conf.d/nginx.conf。你会看到很多教程告诉你删除 default.conf,这似乎没问题,但无论你做什么,都不要删除 nginx.conf.

此外,您应该 move/create 您的 ghost.conf 进入 /etc/nginx/conf.d/ 目录。这就是解决我的一个问题的原因,因为 etc/nginx/conf.d/nginx.conf 中的最后一行在 /conf.d/ 目录中查找,其中包含所有文件:include /etc/nginx/conf.d/*.conf;

这是我的 /etc/nginx/conf.d/ghost.conf 文件:

  server {
  root /usr/share/nginx/html;
  index index.html index.htm;

  listen 443 ssl http2;

  server_name kevinsuttle.com www.kevinsuttle.com;
    ssl_certificate /etc/letsencrypt/live/kevinsuttle.com/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/kevinsuttle.com/privkey.pem;
    ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
    ssl_prefer_server_ciphers on;
    ssl_ciphers 'EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH';

  location ~ /.well-known {
      allow all;
      root /var/www/;
  } 

  location / {
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header HOST $http_host;
        proxy_set_header X-NginX-Proxy true;

        proxy_pass http://127.0.0.1:2368;
        proxy_redirect off;
        root /var/www/;
    }
      location /.well-known/ {
        root /var/www/;
    }
}

server {
    listen 80 ssl http2;
    server_name kevinsuttle.com;
    return 301 https://$host$request_uri;
}

现在,我让这一切工作正常,并尝试将 nginx 升级到 1.9+,以便通过 http/2 提供服务。 DigitalOcean 的一键式 Ghost droplet 默认使用 nginx 1.4。

长话短说,我一直收到此错误:

dpkg: error processing archive /var/cache/apt/archives/nginx_1.9.9-1~trusty_amd64.deb (--unpack):

我找到的唯一解决方案是

apt-get purge nginx nginx-common

然后我可以通过将以下行添加到我的 /etc/apt/source.list 文件来安装 nginx 1.9。

deb http://nginx.org/packages/mainline/ubuntu/ trusty nginx
deb-src http://nginx.org/packages/mainline/ubuntu/ trusty nginx

现在我只是添加了listen 80 ssl http2;listen 443 ssl http2;,http/2就可以正常工作了。但仅当 https:// URL 被显式输入时。

我发现 some evidence 表明 express 不支持 http/2,但我不是 100% 支持这一点。

如有任何想法,我们将不胜感激。

我认为这不是 Ghost 或 DNS 的问题。

您可以排除 DNS,因为 www 和 not-www 都解析为配置的 IP。

➜  ~  dig kevinsuttle.com +short
162.243.4.120
➜  ~  dig www.kevinsuttle.com +short
162.243.4.120

DNS 协议工作在比 HTTP 低的级别,它不关心 HTTP 版本或您使用的是 HTTP 还是 HTTPS。因此我们可以排除 DNS 并移动到检查更高级别的协议。

我也排除问题是 Ghost/Express,因为我可以在使用 HTTPS 时向您的博客发送 HTTP/2 请求。

➜  ~  curl --http2 -I https://kevinsuttle.com/
HTTP/2.0 200
server:nginx/1.9.9
date:Sun, 24 Jan 2016 19:34:30 GMT
content-type:text/html; charset=utf-8
content-length:13594
x-powered-by:Express
cache-control:public, max-age=0
etag:W/"351a-fflrj9kHHJyvRRSahEc8JQ"
vary:Accept-Encoding

我也可以回退到 HTTP 1.1,只要我使用网站的 HTTP 版本。

➜  ~  curl -I https://kevinsuttle.com/
HTTP/1.1 200 OK
Server: nginx/1.9.9
Date: Sun, 24 Jan 2016 19:35:36 GMT
Content-Type: text/html; charset=utf-8
Content-Length: 13594
Connection: keep-alive
X-Powered-By: Express
Cache-Control: public, max-age=0
ETag: W/"351a-fflrj9kHHJyvRRSahEc8JQ"
Vary: Accept-Encoding

因此,问题出在Nginx配置上。具体来说,问题是 HTTP-only 块的 Nginx 配置。

我现在无法尝试,但我个人认为问题出在这一行:

listen 80 ssl http2;

应该是

listen 80;

ssl指令用于强制侦听套接字理解ssl。但是,在您的情况下,让套接字侦听 80 以使用 HTTPS 是没有意义的。此外,使用 ssl 的套接字必须声明关联的 SSL 配置(也就是至少一个有效的证书和密钥)。

通常,您使用 ssl 配置处理 HTTP 和 HTTPS 请求的单个服务器:

server {
    listen              80;
    listen              443 ssl;
    server_name         www.example.com;
    ssl_certificate     www.example.com.crt;
    ssl_certificate_key www.example.com.key;
    ...
}

另请注意,作为 explained in the Nginx documentation

The use of the ssl directive in modern versions is thus discouraged.

http2 与 non-https 插座结合使用也可能是问题的根源。

引用 this article:

While the spec doesn’t force anyone to implement HTTP/2 over TLS but allows you to do it over clear text TCP, representatives from both the Firefox and the Chrome development teams have expressed their intents to only implement HTTP/2 over TLS. This means HTTPS:// URLs are the only ones that will enable HTTP/2 for these browsers.

因此,假设有可能,通过 HTTP/2 为 non-https 站点提供服务可能没有用。实际上,鉴于 issue described in this ticket 似乎与您的问题相符,我怀疑它在今天是否可能。

总而言之,只需更改

server {
    listen 80 ssl http2;
    server_name kevinsuttle.com;
    return 301 https://$host$request_uri;
}

server {
    listen 80;
    server_name kevinsuttle.com;
    return 301 https://$host$request_uri;
}