Nginx报错“The plain HTTP request was sent to HTTPS port”问题解决办法

Nginx HTTPS配置与常见问题解决

原创已于 2023-01-28 20:59:17 修改 · 1.1w 阅读

9 ·

CC 4.0 BY-SA版权

文章标签：

#java #nginx #http

于 2020-01-24 00:10:02 首次发布

nginx 👽 专栏收录该内容

8 篇文章

订阅专栏

本文详细解析Nginx服务器在处理HTTPS与HTTP请求时常见的400错误问题，包括https协议访问80端口及http协议访问443端口的错误，并提供了解决方案，涉及Nginx配置调整与proxy_redirect使用技巧。

参考
https://blog.csdn.net/afreon/article/details/97142847

文章目录

- - 问题： https协议访问80端口
  - 问题： http协议访问443端口

Nginx HTTP服务器的报错“400 Bad Request: The plain HTTP request was sent to HTTPS port”

简单从报错的字面意思上来看，是因为HTTP请求被发送到HTTPS端口：

http://blog.yoodb.com:443/todo-list/

这种报错多出现在Nginx既处理HTTP请求又处理HTTPS请求的情况。

问题： https协议访问80端口

问题描述：

以下是Nginx常用的SSL配置（出于安全原因，我们使用了本站域名），配置文件将让Nginx侦听80和443端口，并将所有的HTTP请求重定向到HTTPS：

server {
    listen       443;
    server_name blog.yoodb.com;
    charset UTF-8;
    # ssl 配置
    ssl on;
    ssl_certificate   /usr/local/nginx/conf/ssl/blog/2539791_blog.yoodb.com.pem;
    ssl_certificate_key  /usr/local/nginx/conf/ssl/blog/2539791_blog.yoodb.com.key;
    ssl_session_timeout 5m;
    ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4;
    ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
    ssl_prefer_server_ciphers on; # 是否由服务器决定采用哪种加密算法
    if ($scheme = http) {
        return 301 https://$host$request_uri;
    }
    location / {
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header X-Forwarded-Proto https;
        proxy_pass http://172.17.6.114:8082;
    }
    location ~*/upload/images/ { 
    expires 1h;
        root /mnt/app/project/files;
    }
    location ~*/dynamic/images/ {
    expires 1h;
        root /mnt/app/project/files;
    }
}

以上的配置看上去都很正常，但是用户请求如果通过80端口来访问网站时，例如使用http://blog.yoodb.com，那么这个请求就会在浏览器收到错误nginx 400 bad request“The plain HTTP request was sent to HTTPS port”，示例图片如下：

在这里插入图片描述

Nginx报这种错误是因为每一次用户请求试图通过HTTP访问你的网站，这个请求被重定向到HTTPS。于是Nginx预计使用SSL交互，但原来的请求（通过端口80接收）是普通的HTTP请求，于是会产生错误。

另一方面，如果一个用户使用https://blog.yoodb.com访问网站，他们就不会遇到上述错误。

✔️ https://blog.yoodb.com
❌ http://blog.yoodb.com

此外，如果你有其他的网站配置为不使用SSL，Nginx会尝试使用HTTPS，这种情况下也会造成上述错误。

解决办法：

将上面配置文中的“ssl on; ” 注释掉或者修改成 “ssl off;”；“listen 443;”修改为“listen 443 ssl”；新增“listen 80”，这样Nginx就可以同时处理HTTP请求和HTTPS请求了

💡 提示

在 nginx 服务器端，接收到https请求，（原先是直接走指定的端口的）现在会直接内部转跳 ssl 标记的 listen 端口 443

具体参考如下：

server {
    listen       80
    listen       443 ssl;
    server_name blog.yoodb.com;
    charset UTF-8;
    ssl_certificate   /usr/local/nginx/conf/ssl/blog/2539791_blog.yoodb.com.pem;
    ssl_certificate_key  /usr/local/nginx/conf/ssl/blog/2539791_blog.yoodb.com.key;
    ssl_session_timeout 5m;
    ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4;
    ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
    ssl_prefer_server_ciphers on;
    if ($scheme = http) {
        return 301 https://$host$request_uri;
    }
    location / {
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header X-Forwarded-Proto https;
        proxy_pass http://172.17.6.114:8082;
    }
    location ~*/upload/images/ { 
        expires 1h;
        root /mnt/app/project/files;
    }
    location ~*/dynamic/images/ {
        expires 1h;
        root /mnt/app/project/files;
    }
}

问题： http协议访问443端口

问题描述：

如果https访问nginx通过nginx proxy_pass到http的服务（如：java、tomcat服务）能正常访问，但是服务中redirect会跳转到http（因为，在内网环境中，仍然通过http协议通信），导致报错“400 Bad Request: The plain HTTP request was sent to HTTPS port”。

💡 提示

内网服务转跳http的例子：

如tomcat对域名后的第一个词，喜欢加上 / 作为结束
http://localhost:8080/todo-list （原访问路径）
http://localhost:8080/todo-list/ （末尾加 / 符号，且用302转跳）
http://localhost:8080/todo-list/aaa （非第一个词，不做处理）

解决办法：

proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto https;
proxy_pass http://172.17.6.114:8082;
proxy_redirect http:// https://;