etuser

繼上篇安裝及設定 Caddy2 網頁伺服器，完成 http/3 服務後，接下來設定 CodeIgniter 4 的使用環境。 來基隆之後，自己習慣使用 CodeIgniter 4（CI4）來作網站開發。CI4 是蠻流行的 PHP 框架，以自已的經驗真的很好用而且快速，而且因為我的案子基本上都是設定在差不多的族群，所以在基礎的資料庫架構及部份基本功能都一樣，可以直接做成 Model 和 Controller，下一個案子直接複制過去就可以了。 Apache2 設定 以往伺服器是用 Apache2 架的，在網站的設定上只須要設定 Alias 和 Directory 即可，rewrite 的部份由 CI4 自帶的 .htaccess 完成。例如將 CI4 的網站 composer 在 /var/www/ci4 路徑中： Alias /ci4 "/var/www/ci4/public"         <Directory "/var/www/ci4/public">                 Options -Indexes                 AllowOverride All                 <Limit GET POST>                         Require all granted                 </Limit>         </Directory> 因為自已的程式還沒有開始使用 CRUD 類似 API 的作法，所以都習慣會作 Limit GET POST 去限制客戶端的 method。 Caddy2 設定 Caddy2 的設定忙...

自已原本擅長使用的網頁伺服器是 Apache2，還在學校的時候已經能夠使用 Let's Encypt 的 SSL 憑證來達成 http 2.0 的服務。 除了 Apache 外，也嚐試使用過 Nginx 及 Lighttp 等網頁伺服器程式，相較下 Apache 穩定但花費效能較多，但是因為比較熟悉順手，來到基隆時一樣用 Apache 來架設網頁。 但在 http/3 規格確定後，許多大型網站，如：Google、Facebook等都採用 http/3 服務。http/3 採用 udp 通訊協定，理論上可以加快網頁的傳輸速度，網路上的資料說 Apache 尚未有改版支援 http/3 的消息，加上想要試著改掉古老又笨重的 apache 伺服器，找了幾個目前有支援或打算支援 http/3 的網頁伺服器。 目前找到的伺服器有：Caddy、OpenLiteSpeed、Nginx（開始改版支援中）、新版的 IIS。 Caddy：用 go 語言撰寫的網頁伺服器，可用於作代理。除了支援 http/3 外，如果有合法的網域 DNS，甚至會自動產生 Let's Encypt SSL 憑證，完全不需要經過申請。 Caddy 2 (caddyserver.com) OpenLiteSpeed：具有 cPanel的後台管理系統，但是試用了一下不太會用。 OpenLiteSpeed 目前實作是用 Caddy v2。 安裝 （ Install — Caddy Documentation (caddyserver.com) ） Caddy2 有提供各大 linux 版本套件，以自已是順手的 ubuntu 為例： sudo apt install -y debian-keyring debian-archive-keyring apt-transport-https curl -1sLf 'https://dl.cloudsmith.io/public/caddy/stable/gpg.key' | sudo gpg --dearmor -o /usr/share/keyrings/caddy-stable-archive-keyring.gpg curl -1sLf 'https://dl.cloudsmith.io/public/caddy/stable...

 一直以來都是利用  compose 來創建  CI4 的網站架構，在 CI4 更新到 4.2.0 版本之後，原本 function ***() 為作路徑的方式突然不能使用了，找了一下官網的說明之後，才發現有了新的 auto-routing 的設定。 Enable Auto Routing 開啟 auto-routing 的設定：修改 app/Config/Routes.php 設定 $routes->setAutoRoute(true) Enable Auto Routing (Improved) 基本上開啟上面的 auto-routing 的設定後，CI4 的路徑就會和以前一樣用 function name 來自動路由，但官網有建立還要再開啟 auto-routing(improved) 這個設定。 修改 app/Config/Features.php 開啟 auto-routing(improved)後，function 的名稱須要再加上 http method， 例如 getIndex()、postUpdate()，function 名稱配合 http method 才能正常執行，以增加網路安全，避免惡意的嚐試。

最近因為基隆教育網路虛擬主機上放程式，申請弱點掃描後，收到報告開始修正弱點和漏洞時，發現太久沒有碰伺服器相關的議題，安全性的設定多出來非常的多。 參考網站：http://lab.aoetek.com/index.php/2018/09/27/2018092701/ 備份參考網站，以後再有需要時可以快速找到。

學校的網頁伺服器採用 HTTPS 模式時，均使用 Let's Encyrpt 認證服務。大多數的伺服器都依 Let's Encrypt 官網的說明，使用 Certbot 用戶端自動於過期前更新。 今天遇到 6/16 到期的 radius.tsh.tp.edu.tw 出現久違的 https 警告，發現該主機的 Certbot 並沒有自動更新。查詢相關資料後，用 sudo certbot renew 手動指令更新，出現下列的錯誤： 發現是 DNS CAA 錯誤問題。 摘錄「 https://ezbox.idv.tw/112/dns-caa-protec-ssl-tls-certificate/ 」說明： 目前全球簽發 SSL/TLS 憑證的機構已超過百個 要避免這些機構在某些情況下錯誤簽發憑證 (WoSign曾發生過) 就需要在簽發憑證前做一些檢查動作 在 RFC 6844 中定義了 DNS CAA Record 透過 DNS 的 CAA 紀錄，申明網域授權哪些機構可以簽發該網域的憑證 如果沒有設定 CAA 紀錄，則代表任何機構都可以簽發該網域的憑證 2013年1月 CA可以決定是否檢查該記錄，非強制性 2017年3月 CA/Browser 論壇決議 2017年9月起強制所有憑證發行機構在簽發憑證前必須檢查 DNS CAA 紀錄 如果是代管 DNS，則現行多數的DNS代管單位都可以直接設定 CAA 紀錄 若無法新增 CAA 紀錄，只能聯繫代管服務商要求提供協助設定 如果是自行管理DNS，則需要在自己的 DNS Server 上自行設定 解決方式只要用 SSLMate 提供的 CAA Record Helper 來協助產生紀錄，再輸入 BIND9 設定檔中即可。

何謂 http/2 （摘錄自「你的網站升級到 HTTP/2 了嗎？」） 隨著網頁內容越來越複雜，造成了要完成一個網頁載入（Page Load）的動作，除了要下載 HTML 之外，還需要下載 CSS 檔案、JavaScript 檔案、各種圖片檔案，零零總總加起來需要已經多達上百個對伺服器的 Request 請求資源，大大影響了網頁載入的速度。在這一秒鐘幾十萬上下的時代，Amazon 的網頁載入時間每多一秒，該公司的年度營收就減少 16 億美元、Google 的搜尋時間每多 0.4 秒，每天的搜尋次數就會減少 8 百萬網頁、KISSmetric 分析報告指出等待時間超過 4 秒，Bounce Rate 就會增加 25%。人的思緒在等 1 秒後就開始飄移，如果需要等 10 秒，就會感覺這東西是不是壞了。 這個問題的最大原因在於， HTTP/1.1 有一個非常大的缺陷是每個對伺服器的 Request 資源請求，都必須佔用一個網路連線（TCP connection），傳完一個檔案才能再傳下一個，瀏覽器無法同時下載。因此在 HTTP/1.1 時代，瀏覽器為了加速下載的時間，只好同時允許六個網路連線（TCP connection）併發去連接伺服器，好可以達成同時下載六個資源。但是極限也是如此了，並不是說無限制增加網路連線就可以解決這個瓶頸，因為每一次的網路連線，都必須經過三次握手的初始網路連線程序，而且每次初始連線因為流量控制的關係，一開始的網路封包會傳輸比較慢，後來才逐漸加快。 那麼，HTTP/2 是如何改良的呢？它採用的解法包括： 只需要單一網路連線（Single TCP connection），就可以連接網站伺服器，下載所有需要的資源。大大節省 HTTP/1.1 需要一直建立多個網路連線時的啟動時間浪費。 連線多工（Multiplexing），在單一網路連線上，就可以同時傳輸多個 HTTP Request 和 Response，併發請求 CSS/JS/Images 等等資源。它的原理是將 Requests/Responses 都拆碎成小 frames 進行傳輸，而這些 frames 是可以交錯的，因此檔案再多也不怕，不會發生佔用網路連線（TCP connection）的情況。這就是為什麼在圖檔多的情況下，HTTP/2 特別有優勢。 優先權設計(...