很多人一看到网站启用了 HTTP/2,就以为“这网站很高级”,再一看地址栏有个小锁图标,又觉得“肯定装了HTTPS证书”。其实这两件事确实常一起出现,但它们根本不是一回事——就像你买了新车,顺手贴了膜、加了座套,不能说“贴膜是开车的必要条件”。
HTTP/2 本身不强制要 HTTPS
HTTP/2 协议标准里,并没有规定必须用 HTTPS。理论上,你完全可以用明文的 HTTP(也就是 http://)跑 HTTP/2。Chrome、Firefox 这些主流浏览器也支持 HTTP/2 over cleartext(俗称 h2c),只是默认不启用,而且服务端得手动配,还容易被中间设备拦截或降级。
现实中,几乎所有浏览器只在 HTTPS 地址下协商 HTTP/2。比如访问 https://example.com,浏览器发请求时会在 TLS 握手阶段通过 ALPN(应用层协议协商)告诉服务器:“我支持 h2”。但如果访问的是 http://example.com,浏览器连 ALPN 都不发,直接走 HTTP/1.1。
为什么大家默认“HTTP/2 = HTTPS”?
原因很实在:安全和部署成本。
HTTP/2 引入了很多新特性,比如多路复用、头部压缩、服务器推送(已弃用)。这些机制在明文环境下更容易被干扰——比如运营商劫持、Wi-Fi 热点注入广告、甚至局域网内抓包改响应。而 HTTPS 天然加密传输,把整个 HTTP/2 流量包进 TLS 隧道里,既防篡改,又保隐私。
更关键的是,主流 Web 服务器(Nginx、Apache)和 CDN(Cloudflare、阿里云CDN)都把 HTTP/2 支持绑定在 HTTPS 配置块里。你配 SSL 证书的时候,顺手就开了 HTTP/2;想单独开 HTTP/2 不配证书?配置项都找不到。
HTTPS证书干的其实是“敲门”和“验身份”的活
HTTPS 证书本身跟 HTTP/2 协议没半毛钱技术耦合。它的作用就两件:
- 让浏览器和服务器之间建立 TLS 加密通道(这是 HTTP/2 跑起来的“地基”);
- 证明“这个域名确实是它声称的那个人在管”,防止钓鱼。
换句话说:没有 HTTPS 证书 → 没有 TLS → 浏览器不跟你谈 HTTP/2 → 只能退回去用 HTTP/1.1。证书不是 HTTP/2 的“零件”,而是它能被浏览器认出来的“通行证”。
一个小实验帮你理解
如果你有本地开发环境,可以试试:
# 用 OpenSSL 启一个最简 HTTPS 服务(需自签证书)
openssl req -x509 -newkey rsa:2048 -keyout key.pem -out cert.pem -days 365 -nodes -subj "/CN=localhost"
# 再用 Python 快速起个支持 HTTP/2 的服务(如 hypercorn)
hypercorn --certfile cert.pem --keyfile key.pem --bind "https://localhost:8000" app:app
这时用 Chrome 访问 https://localhost:8000,F12 打开 Network 面板,看响应头里会出现 http/2;但换成 http://localhost:8000,哪怕服务端真支持 h2c,浏览器也只会显示 http/1.1。
所以该怎么做?
对普通建站者来说:先搞定 HTTPS 证书(现在 Let's Encrypt 免费自动续期,几条命令就能搞定),证书装好,Nginx 或 Cloudflare 控制台里勾一下“启用 HTTP/2”,刷新页面,基本就自动生效了。不用纠结“是不是必须先买高级证书”——Let's Encrypt 的免费证书完全够 HTTP/2 用。
记住一句话:HTTPS 证书是 HTTP/2 的“入场券”,不是“发动机”。没有票,车造得再好也进不了站。