Nginx-Webserver Plus jetzt mit HTTP/2
Noch vor Apache hat die Nummer Zwei der Webserver Nginx Plus mit Release 7 eine stabile HTTP/2-Implementierung vorgelegt. Weitere Neuerungen sollen ebenfalls die Performance erhöhen und die Sicherheitsrisiken minimieren.
- Susanne Nolte
Mit Nginx Plus Release 7 (R7) hat Nginx die erste stabile Webserver-Version vorgelegt, die HTTP/2 (Hypertext Transfer Protocol/2) beherrscht. Den HTTP-1.1-Nachfolger hatte die IETF erst im Februar 2015 verabschiedet und im Mai als RFC 7540 veröffentlicht. Die neue Major-Release der kommerziellen Nginx-Variante bringt für HTTP/2 ein separates Paket nginx-plus-http2 mit, das die Pakete nginx-plus und nginx-plus-extra ergänzt. Anders als die letztgenannten Standard-Pakete ist in nginx-plus-http2 keine SPDY-Implementierung mehr integriert. Googles Transport-Protokoll SPDY stellte die Basis für die HTTP/2-Entwicklung dar.
Freiwillige Verschlüsselungspflicht
HTTP/2 verspricht vor allem einen Performance-Schub beim Surfen. Allerdings setzt Nginx – mit knapp 15 Prozent inzwischen die Nummer Zwei der Webservern – für HTTP/2 TLS voraus. Anders dagegen der große Konkurrent Apache, der auf über 50 Prozent aller aktiven Websites im Hintergrund werkelt. Für Apache existiert seit April 2015 ein Modul mod_h2 im Alpha-Stadium, das als interner HTTP-Proxy auf Basis von nghttp2 vor die Apache-Infrastruktur ab Version 2.4.12 gespannt wird. Anders als die Nginx-Erweiterung erlaubt es sowohl HTTP2 over TLS (h2) als auch HTTP2 over plain HTTP connections via Upgrade (h2c).
Von einer Verschlüsselungspflicht war das HTTP/2-Gremium am Ende wieder abgerückt, dafür hatten Google und die Mozilla Foundation angekündigt, dass sie in ihre Browser ausschließlich HTTP/2 over TLS implementieren werden. Auch der Internet Explorer 11 für Windows 10 nutzt HTTP/2 derzeit nur über TLS. Microsoft Edge soll ebenfalls HTTP/2 beherrschen, über die Integration in die Desktop-Versionen von Opera und Safari schweigen sich die Entwickler aus.
Anfang August hatte das Nginx-Projekt der Version 1.9.4. einen HTTP/2-Patch im Alpha-Statium spendiert, der das SPDY-Modul in der freien Nginx-Version ersetzt. Red Hats WildFly zugrunde liegender Undertow-Webserver kann seit Juli 2015 HTTP/2. Microsofts IIS (Internet Information Server) soll ab Windows 10 und Windows Server 2016 HTTP/2 sprechen.
Protokoll-Wahl auf Anfrage
Nginx Plus kann als HTTP/2-Gateway agieren, das den Traffic an die dahinterliegenden Server per HTTP 1.1 weiterleitet. Ebenfalls implementiert ist die TLS-Extention (Transport Layer Security) ALPN (Application-Layer Protocol Negotiation) nach RFC 7301. Sie erlaubt dem Browser das Senden einer Liste der ihm verständlichen Protokolle. Fehlt HTTP/2 darin, fällt der Server auf HTTP 1.1 zurück.
Auch an anderen Stellen haben die Entwickler an der Performance von Nginx Plus R7 geschraubt: Dazu griffen sie zum Thread Pooling und zum Socket Sharding. Zu den Sicherheits-Neuerungen zählen TCP Access Control und Limitierungen per IP-Adressen. Die Zahl konkurrierender Verbindungen per Client oder Dienst lässt sich ebenso begrenzen wie die Durchsatzkapazität pro Connection. Zudem kann NGINX nun mit der Authentifizierung per NTLM (Windows NT LAN Manager) umgehen.
(Bild: NGINX Inc.)
Zugelegt hat Nginx auch bei den Monitoring- und Diagnose-Funktionen. Andere Erweiterungen sowie Bugfixes sind ebenfalls in die neue Release eingeflossen. Nginx-Plus-Nutzern empfehlen die Entwickler ein schnellst mögliches Update. Allerdings sollte, wer seinen Webserver noch auf Debian 6, SLES 11 SP3 oder Ubuntu 10.04 TLS respektive 14.10 laufen lässt, vorher auf eine von den Distributoren unterstützte Betriebssystem-Version umsteigen. (sun)
