博客启用 http2+nginx1.9.5

0x01

之前由于种种原因（更多是顾忌 seo）没有采用 https，但是这次在 nginx 发布了 1.9.5 版本后，正式支持了 HTTP/2 module 的支持 (之前是通过打 Patch):。并且早些时候 Chrome 宣布将停止支持 SPDY，以及百度不久前正式宣布无差别收录 https 网站，所以果断趁着 nginx 发布版本，给网站换上了 https。

具体开启的细节就不赘述了，优化 / 安全方面，开启了 OCSP stapling、Strict Transport Security (HSTS)。禁用了不安全的 SSL 2/3。

比较恶心的是多说和图片。

• 关于七牛，需要申请一个 https 的域名。
• 关于多说，比较麻烦的是头像问题。需要用 nginx 做一次 proxy，去拿分散在各个 cdn（sinaimg,douban, etc..）的头像。解决办法可以 google 关键字多说 https 支持。

经过一番优化，在 SSLLABS 上也得到了比较高的分数。

---

0xff

另外，拜墙所赐，昨天我的网站解析竟然出现了路由黑洞。

到 xxxx.com [xxx.xx.xx.xx] 的路由:

1 <1 毫秒 <1 毫秒 <1 毫秒 OpenWrt.lan [192.168.1.1]
2 2 ms 2 ms 1 ms 58.62.68.x
3 5 ms 56 ms 2 ms 105.200.137.219.broad.gz.gd.dynamic.163data.com.
cn [219.137.200.105]
4 6 ms 3 ms 3 ms 61.144.3.6
5 10 ms 108 ms 7 ms 202.97.33.150
6 108 ms 61 ms 105 ms 202.97.91.238
7 64 ms 103 ms 57 ms 202.97.61.217
8 113 ms 10 ms 117 ms 202.97.91.194
9 36 ms 113 ms * 202.97.61.217
10 107 ms 46 ms 107 ms 202.97.91.194
11 9 ms 107 ms * 202.97.61.217
12 112 ms 45 ms 46 ms 202.97.91.194
13 * * * 请求超时。
14 * 112 ms 11 ms 202.97.91.194
15 * * 112 ms 202.97.61.217
16 19 ms 92 ms * 202.97.91.194
17 * 10 ms 110 ms 202.97.61.217
18 67 ms 107 ms 60 ms 202.97.91.194
19 109 ms 7 ms 113 ms

可见 202.97 这个 ip 段陷入了死循环。更可怕的是，用工具检查，国内全部都 ping 不通。所以不知道是巧合还是什么的，难道和开启 https 有关？不解。