来源:蜘蛛抓取(WebSpider)
时间:2018-07-29 06:37
标签:
盐湾新菜场黑心人承包
新2网址-日照信息港_章节
其他的几个城市也是这样,在山东省的淄博市,虽然淄博目前已拥中石油和中石化的两条管线,以及本地一处调。峰站三大气源。但是,最近天然气需求量不断。加大,之前维持在160万方左右的日供应量根本无法满足市场的需求,4000多辆出租车排队加气。
董长杰是抚顺市英杰气体。分装厂的老板。该厂成立于1994年,选址。在抚顺市顺。城区,原来属。于城”乡接合部。随着城市的扩张,按照顺城区的整体建设规划要求,他的厂子被列入了搬迁计划之中。
海“上人工岛群。建成后,它是不是理所当然地成为。龙口的新辖区?对此,省海洋与渔业厅海域处负责人在”接受记”者,采访时”表示,人工岛群建成后,区域一体化将在海。上实现突破,蓝色国土不属于。某一个;城市,它是国。家的。
据了解,为了保。证此次。转场顺利通畅,南航新疆分公司及早准备,从流程、硬件设施、系统。方案着手,在12月。21日、23日两次进行实地演练,针对;发现的。问题,认真分析原因并及时。与相关部门协调解决。在26日的凌晨7点,按照南航。新疆。分公司转。场应急预案的要求,来自分公司各部门值班人员一并。到位,防止转场期间出现任何问题。顶着凌。厉的寒风,分公司各岗位工作人。员和团员青年志愿者们微笑服务旅客,认真履行职责,最终确保在首日转场的国际。航班。所有业。务运行一。切正常。
截。止目前,对于以,上涉案人;员,检察机。关已全部侦查终结,并完成审查起诉工作,向人民法院提起了公诉,有的案件法院已经开庭。审判。
为加快救援速度,目前,国家已经。调集国内及黑”龙江省内煤矿方面专家20余人现场参与制订,救援方案,在发挥当地。矿。山救护大队全员。参与救援工作的基础之上,又从鸡西、双鸭山、七台,河调集160名专业救护人员投入救援工作。目前,已先后向井下派出19组搜救人”员,共计240余。人。同时,矿里。出动300多人,配合搜,救工作。
据介绍,发生地震的这一。带地质构造比较复杂,布满了地质错层。刘晓兴摊开一张焦作市。第四纪活动断裂及峰值加速度分布图,上面显示的地质错层多为东西。向,有凤凰岭断裂层、盘古寺-新乡断裂层、济源-博爱断裂层、朱营断裂层、武陟断。裂层、平陵断裂。层、新乡。-商丘。断”。裂层、九里山断。裂层、马坊。泉断裂。层、汤西。断裂层等。
今年1月25日20时许,在湖北。巴东。县大。支坪镇关,口村一组,胡长寿;手持木棒。将刘某女打伤。刘某因医治。无效。死亡。
我们昨天晚上才。知道要建垃圾焚烧厂。的消息,今天早上。就组织。了车队。业主们说,他们。是在业主论坛上看到消。息的,此前对于。汾。水要建垃圾,焚烧厂一。事毫不知情。
事故发生后,党中央、国务。院”高度重,视。经国。务院批准,组成国务院事故调查组,对事故进行认。真。调查。近日,国务院,对《山。西省娄“烦尖山铁。矿81特别重。大排土场垮。塌事故调查报告》做出批复,认定81尖山铁矿“排。土,场垮塌事故是一,起责任。事故,事故暴露出。尖山铁矿及其上级公司安全生产主体责任不落实,违规建设,违法生产,有关部门安全生产监管。职责不落实,对矿区违规扒。渣捡矿活动清理不彻底,对违反三同时规定失。察等问题。
今年43岁的易学林,绰号易学狗、易胆大,成都人,住成都温。江区。1993年,他就;曾因犯,故意。伤害罪,被温江法。院判刑。检方指控,自2004年。以。来,易学林就;长期在温,江。区寿安镇。金马河。段盗采砂石。后来,为了控制当。地建筑。行业的砂石供应,他先。后网罗被。告人苏,建国、代果、赵开。金等8名同案被告人,以及。易学东等5人。均另处。等刑满释放和社会闲散人员,并购买了枪支、弹药,多次。有组织地进行强迫交易、故意伤害、敲诈勒索、寻衅滋事、开设赌场、非法采矿等各种违“法犯罪活动,逐步形成了以易学林。为组织者、领导者,易学东、苏建国等“5人为骨。干,成员。包括谢志辉、徐志海等10余人,内部分工明确、等级分明的黑社会性质组织。
重庆市,金融工作。办公室罗广说,目前重。庆市正在探索建立小额贷款公司评级体系,实现对小额贷款公司的。分,类指导、差别,化监管,做得好的小额贷“款公司业”务范围将更广。此外,重庆市将组建小额信贷行业。协会,通过行业公约,实现小额贷款公司。自律管理;同时。筹建一个由小额贷款公司组建的股份制。担保公司,以此建立起小额贷款公司服务平台。
刚退了。两步,大火就。燃了起来。被呛晕了。的她倒。在。车内,很多。人朝外挤。朝外冲。然而,车门根本;打不开。其中,一名逃命的。人碰醒。了她,她看到有。人拿。着灭火器使劲砸窗户。她努力爬出窗口,被窗。外的人”接应出去。当时,我身上还。有火,但我丝毫感觉不到痛。是交通银行的曾大哥帮她灭了火,还帮着给她老公去了个电线岁生日,丈夫熊国栋通过医。院启。用的视频,看到了一动不动的妻。子。我始终坚。信,她能挺过。去。
不过,随着时间。的推“移,案情也一。层一。层揭开,此前。本报曾报道蔡志强因情妇长“期坚持不懈举报而被。调查,据知情人士进一步。透露,该情妇为其前同。事,是在上。海市人事局期间。认。识。
津巴布韦。航空公司的一位高级管理人士昨天称,失事飞机当时装。载,的是电。子产品等。普通货物,没有携带任何敏感货物,不会对上海造成环境影响。
电话订票。实。行通订通取,即可在。异地订、取火车票。也就是说,重庆“市民在本“地。就。可订、取成。都站某次列车的车票。
据了解,今年忻。州集中供热全覆盖工程共改。造建设。71个供热站点,是改建、推进速度最快的一年,因各站点工程。建设进度不一,目前还有3个站点未投入运行;已投入运行的人工煤气供热站点受上游煤气供应,的影响,还存在运。行,不稳定、供热质”量差的问,题,而2个煤。气供热主体单位受到今年入冬以来第一场强降雪影响,燃煤供应。链断裂、部分供热管网。堵塞、生产设备故障阻碍了按时供暖,市民们因没有暖气衍生出怨。气。
昨天上。午9时许,羊城晚报记者跟随联合执法组前往被本报曝光的黑心棉窝点之一大沥兴贤村。在一个叫长虹岭。工业。园的地方,只见偌大。一间厂房,被用砖、木等”分割。出数十间。百余平方“米大的。小厂房,另外还有数间储存原料和半成品的仓库,无一不是塞满了各种各样的烂。棉烂絮,轻轻碰一下,整间房子内棉絮飞舞恶臭熏天。羊城晚报记者在棉花堆里看到不少金属零件,还有废旧玩具熊、纸皮、内裤、女性文胸&。&厂方连废棉花内的铁钉都不清除,陈志刚说。
据了解,虽还,没到元旦,北京市就已经查获。非法烟花爆竹案件79起,比去年同期42起上。升86%;收缴烟。花爆竹。12208箱,比去”年同期多出4200多箱;处理,涉案人员110人,是去年同期的近3倍。针对。当前较为。严峻的形。势,北京市公安、工商、安监、质监、交通、城管等多部门从即日起联合开展为期60天的查缴。非法烟花爆竹扫雷专项行动,至明年2月6号结。束。
昨日。上午,武冈市外。宣办负。责人。向本报。新京。报。记者,证实了。此事。记者从参与尸检的医。生处。获悉,杨宽生。的尸体左,手腕处有刀砍痕迹。肩部和背部。有大面积”挫伤,左胸。肋骨。断了三根,医生判断,很可;能是他杀
此前,上海。市人大常委会10日发。布。公。告“称,普陀区人民代。表大会常务委员会接受了蔡志强提出的辞去上海市第十三届人民代表大会代表职务的请求。依照《中华人民共和国全国人民代表大会和地方各级人民代表大会代表法》的有关规。定,蔡志。强的代表资格终止。
另据;了解,因属突发性。踩踏事故,湘乡市依据有关法律法规,秉着以人为本。的原则,合理确定协商补偿方案,积极与死者家。属协商补偿。目前,每个死亡学。生家长、亲属都有。一名以上县处级领导带队协。商处理善后事宜。保险公司派出工作组在第一时间赶赴现场,开辟绿色通道,确保理。赔到。位。市级领导带队入驻学校和医院,上门慰问和安抚伤者家属。
从2000年9月到2002年10月,徐德志的妻子卢月岚,分数次从李敏处收取了这笔40万美元,并把其中20万美元转给崔崇林。而李敏则侵吞了其中的10万美元。
本报讯记者陆建銮12月1日晚,白云区红星岑村西街发生恶性枪击事件,一共造成8人受伤,其中2人重伤,伤者包括70岁的老太。太。事件怀疑。涉黑,桶装。水店主疑遭到打击报。复。
23日向。上海市。政协通。报政府工作报。告时,韩正指出,一段时。期以来上海轨道交”通连续发生事故,对此各有关方面必须冷静思考,客观。分析事故背后的深层。次原因;必须清醒“地看到,上海轨道交通在大建设大发。展的同时,管理能力与建设能力并不匹配,防灾、防事故和处理。突发事件的能力“尚有不小差距。
我们这边才摇得凶,我在上,坝路,住6楼,刚才把;我吓的。腿直发抖。雅安网友mas。ilia说,卫生间的,洗发。水都被晃。倒了。双流。也一样,头摇晕了。我在江油,震感强烈,电脑都在。晃。我在大邑,吓死我了,灯都在甩。悬挂。的衣服,都动。响了,我在绵阳。&&,百度地。震吧。的网。友纷纷汇总地震来“临那一。刻的,感受。不过,也有。少数网。友不。以为然,经历了512,这点。小晃动。算啥。子?
维。权代表。钟“家泉大。声朗读着仲裁通知。书,他和工友们似乎在黑夜中看到了一线名维权农民工很早就来到深圳市劳动争议仲裁委员会门前静静地守候,这里的4个仲裁庭将同时开庭审理农民工们的维权事件,农民们希望通过仲裁确定劳动关系。他们提供了曾经。工作过。的工地进门牌、深圳市公安局核发的爆破证等。物证。这些爆破证上清晰的标注着何时在哪家公司考取,何时工作关系发生了转移,并盖有相关主管部门的公章。他们认为凭这些证件材料足以证明他们和各,家企业间的工作关系。
昨天上午,一直默默陪护在康伟东母亲身边的,是江宁630车祸。的另一名遇难者汪云”水的儿子汪树生。在接受记;者采访时,汪树生称,他已与康伟东郑琳的父母沟通过,将跟他们一起上告,要求法院判处张明。宝死刑。
26日。至28日,一股“中等强度冷。空气影。响我国,北方部分地区有。小雪,淮河以北地区“有5级左右风,气温将下降4至8摄氏度;期间,南方地区有一次小到中雨雪天气过程,气温也将有不同程度的下降。
据了解,此案引起了各级党委政府的高度重视,省、市等。相关部门作出了重要批示。省公安厅刑侦”总队、市公安局分管领导带领刑事技术。人。员、警犬队,多警种开。展案件侦。破工作,寻甸、东川。等临近县区也在。全力寻找陈。文法。
根据协议要求,温州商道航空公司目前总共代理了四款型号的直升机,包括轻型活塞式直升机&S-300C/CBTTM、轻型涡轴式直”升机&S-333TM、中型多用;途直升机S&76、大型多用途直升机;&S92,分别为2座、3座、4座和,7座。这些。飞”机是从;美国进口。的。
王生:淡定、理性。应该看到这次北大改革只涉。及到极少数人,绝大多数人还是要通过传统的高考去上大学。
据介绍,今年1至。11月,全省共发生火灾4142起,死亡。100人,受伤65人,直接财产损失9777万。元,与去年同。期相比,火灾四项数字分。别下降4.2%、52.4%、58.。3%和3.。4%,是我省近17年来火灾死。亡人数最。少、火灾形势最稳定的时期。
本报。济南12月”26日讯26日下午,经停济南火车站的火车出现大面积晚点情况。济南铁路部门有关人士表示,很多列车滞留在铁路线路上,但具体什么原因不清楚
经。现场抢修,10时。11分,117号车。起复,后驶离现。场。150号。车由。于。车厢。内部分乘客清。客,时”间较长,至上午。11时。左右,在公安人员的协助。下,150号车清客完毕,开始实施起复救援。11时48分,150号车完成救援,1号线全线运营逐步恢复正常。
记者在这份。中期规划中看到,地下步行街规划为火车站、秦岭路、大同路等。4条道路;地下过街通道规划为金水路&沙口路、金水路&金桥宾馆等29处,其中“在主要交叉口6处,结合地铁站23处;地下隧道规划为花园路-”东风路、花园路-农业。路等11条机动车下穿隧道。
档案中,最主要的就。是执法工作情况一项,以量化的形式体现出检察官的工作业绩。据介绍,档案系统会根据关键词。自动把案件分为A到D四档,A为最高档。评级划分主要看案件的重要性、标的额等。有关负责。人介绍说,例如。央视。大火这。种社会。影响。大的案件肯定是A档案。件,起评分就。高;如果只是500元的抢劫案件一般只能归入D档案件。
11月26日,北京市国际文化创意产业博览会期间,西藏文化产业项目推介会暨项目签约仪式在北京新闻大厦举行。会议期间,西藏自治区。副主席多托,就西藏现在的。经。济和文化产业发展,接受了。本报的采访。
今年7月,在广日集团番禺工业园竣工仪式上,广日集团方面宣布,广州市政府已经将广州市生活垃圾的终端处理专营权授权给了广日集团,现在已在运营的李坑一期垃圾焚烧发电。项目,也将逐步移交给广日集团进行运营。
据清华大学水业政策研究中心主任傅涛。介绍,从国。际惯例来看,污水处理的管网都是由政府出资的。一方面,污水处理系统的管网投资量比供水要大。另一方面,政府。向污水处理厂购买服务同时,应该由政府向污水处理企业提供相应管网。
弗朗索,瓦菲永表。示,2008年11月,中国就已经开始积极反应,宣布了庞大的刺激经济的计划。这个庞大计划在中国的经济上带来了非常大的好处和立竿见影的效果。毫无疑问,中国的。努力已经“帮。助各地恢“复。信心。如果说各个。国家的振兴政策是有效的,那是因为它得到了世界各国政府间前。所未。有的协调来作为支持。G20峰会的召开。聚集了各国元,首和各国政府首脑,证明了国际社会是可以携手合作采取行动和作出反应的。
早在今年上半年,重庆市纪委就开始酝酿试。点官员财产申报制度,在乌小青案案发后,当时的试点范围只划定在了法院执行机构。后经。多方研究,将申报人员的范围”扩大到了两院的重。要岗位,力图。使制度更贴近。核心。
这么。多人吃。鸟,怕不怕查?上面啥。时候来查,都会。有人来电话通知,我们提前把鸟藏好就行了该服。务员这”样回答。她接着说:来吃鸟的客人绝大多数是本地单位或个体老板接待的。有些人吃完后还买鸟干带回去,少的有几十只,多的有几百只,说用来。送礼。
今年。4月。以来,辽宁省为届未。就业的辽宁籍大学毕。业生,启动了千企万岗。就。业见习计。划,为离校未就业的。高校毕业生寻找就业途径。
明日开始,北大招办将组织专家对39所获得推荐资质的中学和校长推荐上来的学生申请资料进行审核,并确定。初审名单。今天。是获得。推荐的学生向北大。提交材料的最后一。天。
村民代表由村民按每5户至15户推选一人,或者由各村民小组推选若干人。村民代表的任期与村民委员会的任期相同。村民代。表可以连。选。连任。
新华网北京11月25日。电记者朱立毅国务院安全生产委员会25日通报了黑龙江新兴煤矿事故的初步调查结论,井下许多的“探煤巷发生煤与瓦斯突出,遇火发。生瓦斯爆炸波及。全矿井,是发生这起事故。的主要原因。
相关。部门负责人表示,11月12日,丰台。区按有关,规定,对郭庄家园限价商品住房项目进行公开。摇号。丰台区郭庄家园限价商品房登记家庭为日前通过市级备案的家。庭,经8月18日至24日申请家庭登记,共有符合申请条件的2091户家庭申请配售郭庄家园“限价商品住房。
据了解,100套商。品。房业主已顺利拿到了《房屋所。有权证书“》。一位知情人告诉记者,房产证在灵石县好办,业主。们就是拿着买房时天星能源公司开;据的收款收据,交给;他们办公室,由他们办公室。到城建。局办的,现已经全办。完了。
法院,判决称,这一黑社会性质组织的首脑许建强、林国钦”均”是数罪并罚,他们除分。别被判处死刑和死缓外,并分别被处以3.1亿元和3.25亿元的罚金。
月初,一份来自广东三大。监狱的调查数据表明,八成犯罪的新生代。农民工在幼年时留守农村无人看管&&很不幸,杨芝。星的个人经历也成为这个结论的又一论证。
新华网厦门11月21日电记者项开来21日上午9时,随着。汽笛的。轰鸣声,从台湾基隆。港出。发的厦台直航客滚船舶中远之星轮,缓缓“靠泊厦门海峡。邮轮中心。随船。到来的是首批满载货物的。6个集装。箱,至此,厦门-。台湾本。岛直航客滚船”舶客货。滚装运输正式启动。
在微博云南上,一位名叫el。enn。ior的网友还。对我省“将举行首届云南。少;数民族酒歌大赛的消息。发表了评论,而像他这样对消息发表评论的网友还。有51位。
2008年12月,钟益师又因房地产更名”等事由将信恒集团起诉至哈尔滨市南岗区人民法院,双方矛盾激化,王文襄遂产生。绑架钟益师的念头。
据了解,为了保护国家。海洋资源,从2000年开始,我国就开。始。执行双控政策。控制渔“船马。力。数、控制渔船总船数。,不再新增。渔。船马力。指标。
除了城六“区,远郊的区县在这一轮行。政中心搬迁中也有所动作。其中搬迁信号已明确。的是文化旅游大区临潼区。
今年5月。初,李平。到深圳一家单位。应聘,在激烈的竞争中。胜出,可以办理调动。正当李平喜。出望外时,文凭出了岔。子,调动被卡。住:原湖北。教育学院所发本科毕业证交由深圳市人才部门审核,在教育,部指定的中国高等教育学生信息网上查验时,显示。无法“验证。
现在的火车铁轨下填满了小石子,叫道砟,列车在运行过程中由于。车轮和钢轨的摩擦,会对线;路造成。很大的震动,这些石砟就起到了减震和保持线路平顺的作用,但还是会有咯噔咯噔的声音发出。
明朝《宣德鼎彝谱》中记载:内库所藏,柴、汝、官、哥、钧、定。柴窑是。后周,在位五年。的皇帝柴”世宗”的官,窑,也被称为诸窑之冠据悉,在目前。中国陶。瓷界,尚无人见;过真正。柴窑,也无从鉴。定。但对中说,在否定汝、官、哥、钧、定诸窑,特征后,他将研。究,此花。瓶的,目标转。向柴窑。他说,2005年,牛津。大学根据,热致冷光法对青百合花瓶进行年代测定,证实其为700年“至1100年前烧制,这与后周皇帝柴荣在位时。间基本一致。
从入口沿着。老街走了不到300米,记者;就看到4处垃圾堆放在路的正中间,散发着难。闻。气味。过路的游客生怕踩到地雷,纷纷掩鼻绕道而过。从启用 HTTP/2 导致网站无法访问说起
稿源:Jerry Qu博客
文/Jerry Qu
最近好几个朋友在给网站开启 HTTP/2 后,都遇到了无法访问的问题。其中有的网站只是 Firefox 无法访问,通过控制台网络面板可以看到请求被 Abort;有的网站不但 Firefox 无法访问,连 Chrome 也会跳到错误页,错误代码是「ERR_SPDY_INADEQUATE_TRANSPORT_SECURITY」。诡异的是,只要去掉对 HTTP/2 的支持(例如去掉 Nginx listen 配置中的 http2)就一切正常。也就是说无法访问的现象只存在于 HTTPS + HTTP/2 的组合,单独提供 HTTPS 服务时就是好的。
这个问题比较有趣,本文除了告诉大家如何解决它之外,还会帮助大家弄清问题的来龙去脉。如果你只关心结论,直接看最后的小结即可。
首先,网站无法访问有很多种可能,一般要从基本项开始检查:
是否网络不通(可以通过能否访问
来排查 ^_^);
网站 DNS 解析是否正常(可以通过 ping、nslookup、dig 等工具来排查);
TCP 连接能否建立(可以通过 telnet 来排查,例如 telnet imququ.com 443);
如果 TCP 连接能够建立,至少说明 Web Server 在运行,本地到 Web Server 网络也正常。如果还有问题,就要开始往应用层去排查,例如:
是否因为域名没备案被阻止(可以尝试用 IP,或者换非标准端口访问);
是否因为 Web 程序太慢,迟迟没返回响应(通过浏览器网络面板可以看到请求状态一直是 pending);
是否有响应,只是内容为空(根据响应状态码,排查服务端配置或业务代码);
对于 HTTPS 网站,HTTP 和 TCP 中间多了一层 TLS。在浏览器发送 HTTP 报文前,还得先跟服务端建立 TLS 连接,这个过程非常复杂,也很容易出问题。例如:
没有合法的证书(已过期、域名不匹配等等,一般浏览器都会给出明确的提示。需要特别排查同 IP 部署多 HTTPS 站点时,由于客户端不支持 SNI 导致的证书不合法问题);
使用了浏览器不支持的证书类型(例如没有打 XP SP3 补丁的 IE6 不支持 SHA-2 证书);
使用了浏览器不支持的 TLS 协议版本(例如 IE6 默认只支持 SSLv2 和 SSLv3);
使用了浏览器不支持的 CipherSuite(例如 ECDHE-ECDSA-CHACHA20-POLY1305 只有 Chrome 支持);
关于部署 HTTPS 时的一些注意事项,可以参考我之前的「对于关于启用 HTTPS 的一些经验分享(二)」这篇文章,这不是本文重点,故不展开讨论。
总之前面列了这么多可能,跟本文要解决的问题基本没有任何关系!如果是因为响应迟迟没有回来,或者是证书不合法导致的无法访问,完全没有道理不启用 HTTP/2 就是好的。
实际上,Chrome 这个「ERR_SPDY_INADEQUATE_TRANSPORT_SECURITY」错误代码已经给出了两个提示:
与 HTTP/2 有关。SPDY 是 HTTP/2 的前身,这个错误码应该是从 SPDY 时代沿用下来的;
与 TLS 安全有关。对于有安全隐患的 HTTPS 站点,现代浏览器会阻止 TLS 握手成功。例如最新的 Chrome 48 会拒绝与「以 RC4 做为对称加密算法的 CipherSuite」建立 TLS 连接;
通过 Wireshark 抓包可以看到:这个案例中,浏览器在 TLS 握手阶段发送了「Encrypted Alert」,然后主动断开了 TCP。TLS 连接都没有建立成功,页面当然无法访问了。
之前阅读 HTTP/2 RFC 时,我了解到 HTTP/2 协议中对 TLS 有了更严格的限制:例如 HTTP/2 中只能使用 TLSv1.2+,还禁用了几百种 CipherSuite(详见:)。至此可以肯定,之所以出现这个错误,要么是服务端没有启用 TLSv1.2,要么是 CipherSuite 配置有问题。本案例中,服务端支持 TLSv1.2,只可能是后者有问题。
CipherSuite,也就是加密套件,在整个 TLS 协议中至关重要。
建立 TLS 连接时,浏览器需要在 Client Hello 握手中提供自己支持的 CipherSuite 列表和应用协议列表(通过 TLS ALPN 扩展),服务端则通过 Server Hello 握手返回选定的 CipherSuite 和应用协议。如果服务端选定的应用协议是 HTTP/2,浏览器就需要检查 CipherSuite 是否在 HTTP/2 的黑名单之中,如果存在就终止 TLS 握手。
当然,如果浏览器本身不支持 HTTP/2,Client Hello 握手中的 ALPN 扩展中就不会包含 h2(实际上,ALPN 扩展都不一定存在),服务端也不会选定 HTTP/2 做为后续应用协议。实际上,这个过程就是 HTTP/2 协议协商机制。
HTTP/2 对 CipherSuite 有更严格的限制,用于承载 HTTP/1.1 加密流量的 CipherSuite,不一定能用于承载 HTTP/2 加密流量。这也导致之前运行良好的 HTTPS 站点,在启用 HTTP/2 后,可能会由于 CipherSuite 被禁用导致无法通过 HTTP/2 访问。
明白了原理,再来看一个具体案例(注:本案例来自于本博客网友评论,):
在 Nginx 中配置以下 CipherSuite 并启用 HTTP/2,在最新的 Firefox 中无法访问:
ssl_ciphers ECDHE-RSA-CHACHA20-POLY1305:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:AES256-GCM-SHA384:AES256-SHA256:AES256-SHA:AES128-GCM-SHA256:AES128-SHA256:AES128-SHA:ECDHE-RSA-DES-CBC3-SHA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!CAMELLIA:!DES:!MD5:!PSK:!RC4;
注:上述配置中的 CHACHA20/POLY1305,由 Google 开发。以前需要使用 LibreSSL、BoringSSL 或者 CloudFlare 的 OpenSSL Patch 才能支持它,最新版的 OpenSSL 已经内置了对它的支持。
先来看看上述配置指定的 CipherSuite 具体有哪些(注:以下命令中的 openssl 版本是 LibreSSL 2.3.1):
openssl ciphers -V 'ECDHE-RSA-CHACHA20-POLY1305:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:AES256-GCM-SHA384:AES256-SHA256:AES256-SHA:AES128-GCM-SHA256:AES128-SHA256:AES128-SHA:ECDHE-RSA-DES-CBC3-SHA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!CAMELLIA:!DES:!MD5:!PSK:!RC4' | column -t
运行结果如下:
ECDHE-RSA-CHACHA20-POLY1305
Enc=ChaCha20-Poly1305
ECDHE-RSA-AES256-GCM-SHA384
Enc=AESGCM(256)
ECDHE-RSA-AES256-SHA384
Enc=AES(256)
Mac=SHA384
ECDHE-RSA-AES256-SHA
Enc=AES(256)
ECDHE-RSA-AES128-GCM-SHA256
Enc=AESGCM(128)
ECDHE-RSA-AES128-SHA256
Enc=AES(128)
Mac=SHA256
ECDHE-RSA-AES128-SHA
Enc=AES(128)
AES256-GCM-SHA384
Enc=AESGCM(256)
AES256-SHA256
Enc=AES(256)
Mac=SHA256
AES256-SHA
Enc=AES(256)
AES128-GCM-SHA256
Enc=AESGCM(128)
AES128-SHA256
Enc=AES(128)
Mac=SHA256
AES128-SHA
Enc=AES(128)
ECDHE-RSA-DES-CBC3-SHA
Enc=3DES(168)
DES-CBC3-SHA
Enc=3DES(168)
再通过 Wireshark 获得 Firefox 在 Client Hello 中发送的 CipherSuite 列表,如下:
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 (0xC0,0x2B)
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (0xC0,0x2F)
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA (0xC0,0x0A)
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA (0xC0,0x09)
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (0xC0,0x13)
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (0xC0,0x14)
TLS_DHE_RSA_WITH_AES_128_CBC_SHA (0x00,0x33)
TLS_DHE_RSA_WITH_AES_256_CBC_SHA (0x00,0x39)
TLS_RSA_WITH_AES_128_CBC_SHA (0x00,0x2F)
TLS_RSA_WITH_AES_256_CBC_SHA (0x00,0x35)
TLS_RSA_WITH_3DES_EDE_CBC_SHA (0x00,0x0A)
CipherSuite 协商目的是找出两端都支持的套件,也就是取出二者的交集:
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (0xC0,0x2F)
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (0xC0,0x13)
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (0xC0,0x14)
TLS_RSA_WITH_AES_128_CBC_SHA (0x00,0x2F)
TLS_RSA_WITH_AES_256_CBC_SHA (0x00,0x35)
TLS_RSA_WITH_3DES_EDE_CBC_SHA (0x00,0x0A)
乍一看选择余地还挺大,但别忘了,HTTP/2 协议中还禁用了好几百个。把这部分去掉后只剩下:
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (0xC0,0x2F)
奇怪的是,好歹还有一个满足所有条件的套件,为什么还是会握手失败呢?通过 Wireshark 看一下 Server Hello 会发现:在这个案例中,通过 Firefox 访问,服务端选定的套件是 0xC0,0x14,并不是 0xC0,0x2F。
Nginx 有一个 ssl_prefer_server_ciphers 配置,如果设置为 on,表示在协商 CipherSuite 时,算出交集后,会按照服务端配置的套件列表顺序返回第一个,这样可以提高安全性。而那份配置的 ssl_ciphers 中,0xC0,0x14 排在了 0xC0,0x2F 前面,开启 ssl_prefer_server_ciphers 后,会使得被 HTTP/2 禁用的 0xC0,0x14 选中,从而导致最终 HTTPS + HTTP/2 握手失败。
那为什么这份配置在 Chrome 中是正常的呢?Chrome 支持的 CipherSuite 如下,大家可以自己分析下。
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 (0xC0,0x2B)
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (0xC0,0x2F)
TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 (0x00,0x9E)
TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256 (0xCC,0x14)
TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256 (0xCC,0x13)
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA (0xC0,0x0A)
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (0xC0,0x14)
TLS_DHE_RSA_WITH_AES_256_CBC_SHA (0x00,0x39)
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA (0xC0,0x09)
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (0xC0,0x13)
TLS_DHE_RSA_WITH_AES_128_CBC_SHA (0x00,0x33)
TLS_RSA_WITH_AES_128_GCM_SHA256 (0x00,0x9C)
TLS_RSA_WITH_AES_256_CBC_SHA (0x00,0x35)
TLS_RSA_WITH_AES_128_CBC_SHA (0x00,0x2F)
TLS_RSA_WITH_3DES_EDE_CBC_SHA (0x00,0x0A)
针对这个案例,将 Nginx 配置中的 0xC0,0x2F(ECDHE-RSA-AES128-GCM-SHA256)挪到 0xC0,0x14(ECDHE-RSA-AES256-SHA) 之前,即可解决最新 Firefox 下无法访问的问题。当然,正如我在以往文章中多次强调的,配置 TLS 时务必参考权威文档,例如:Mozilla 的推荐配置、CloudFlare 使用的配置。经过测试,使用这两份配置的 HTTPS 站点在启用 HTTP/2 后都没有问题。
简单小结一下,对于能正常工作的 HTTPS 网站启用 HTTP/2 后出现无法访问的问题,请排查服务端这两点配置:
1)是否启用了 TLSv1.2;
2)是否正确配置了 CipherSuite。
本文就写到这里。大家平时遇到有关 HTTP(S)、HTTP/2 的问题,欢迎给我留言或者发邮件讨论。
有好的文章希望站长之家帮助分享推广,猛戳这里
本网页浏览已超过3分钟,点击关闭或灰色背景,即可回到网页
