AMP
EN
Deutsch Français العربية Español Italiano Indonesia 日本語 한국어 Português Русский Türkçe 中文 Polski Tiếng việt

使用簽名交換提供 AMP

重要事項:本文件不適用於您目前選取的格式 電子郵件

AMP 透過快取和預先載入等技術,提供超越格式本身的速度優勢。這些優勢可能會帶來缺點,例如在嵌入 AMP 檢視器 中時,會顯示額外的 URL。透過使用簽名交換提供 AMP 內容,您可以使用新的網路平台功能來克服所有這些問題。

簽名交換由有效的 AMP 文件和內容的原始 URL 組成。此資訊受到數位簽章的保護,數位簽章安全地將文件連結到其聲稱的 URL。這使瀏覽器能夠安全地在 URL 列中顯示原始 URL,而不是將位元組傳遞到瀏覽器的機器的主機名稱。

簽名的 AMP 內容是除了常規 AMP 內容之外(而不是取代)。

此功能目前在 Chrome 上受到支援,但計劃在其他瀏覽器上實作。

簽名交換適合我嗎?

若要實作簽名交換,您必須符合以下需求

  • 能夠設定和控制您的伺服器產生的 HTTP 標頭。(大多數純粹基於網路的託管解決方案,例如 Blogger,與簽名交換相容。)
  • 能夠產生 AMP 簽名交換,例如透過執行 amppackager,作為 Go 二進位檔,或在 Docker VM 中執行。
  • 封裝工具需要每六週更新一次。
  • 能夠在邊緣 HTTP 伺服器上 Vary AcceptAMP-Cache-Transform 標頭,為相同的 URL 傳回不同的內容。
  • 執行 amppackager 的系統需要能夠發出對外的網路請求至
  • 頒發您的憑證的憑證授權單位
  • 託管要簽署的 AMP 文件的發布者伺服器
  • cdn.ampproject.org 以取得 AMP 的目前版本
  • 在同一資料中心中運行的所有 amppackager 實例之間持久性共用儲存檔案系統。

實作簽名交換

以下是建議的實作順序,以在您的 AMP 文件上支援簽名交換。

取得支援的 TLS 憑證

若要產生簽名交換,您需要具有 CanSignHttpExchanges 擴展的 TLS 憑證。截至 2019 年 4 月,DigiCert 是此擴展的唯一供應商(更多資訊)。

為了產生憑證,憑證授權單位 (CA) 將需要憑證簽署請求 (CSR),該請求可以由 openssl 產生。ampbyexample.com 的 CSR 範例

# generate private key (if necessary)
$ openssl ecparam -out ampbyexample-packager.key -name prime256v1 -genkey
# generate CSR (the file ampbyexample-packager.csr)
$ openssl req -new -key ampbyexample-packager.key -nodes -out ampbyexample-packager.csr -subj "/C=US/ST=California/L=Mountain View/O=Google LLC/CN=ampbyexample.com"

判斷哪些 URL 將被簽署

您將需要建立 URL 模式,以定義應簽署哪些文件。至關重要的是,不應簽署私人內容(例如個人化資訊),以避免傳送誤導或不正確的內容。

為了效能目的,封裝工具應僅傳遞有效的 AMP 文件作為輸入。如果需要,某些無效的 AMP 文件是可以的,但您應避免將所有流量都通過封裝工具傳送。

將封裝工具部署到預備伺服器

您應先在預備伺服器上設定簽名交換,以驗證您的設定是否正確,然後再遷移到正式環境。

我們建議使用 amppackager 來產生簽名交換。但是,如果這不適合您的正式環境,您可以改為使用命令列用戶端 transformgen-signedexchange,並自行處理內容協商和憑證管理任務。

以下說明適用於使用 amppackager 的部署。

設定

amppackager 的設定檔 (amppkg.toml) 需要 CertFileKeyFile

KeyFile 是私密金鑰(範例中為 ampbyexample-packager.key),它應具有以下格式。(注意:請勿共用您自己的私密金鑰,並保護它免於意外共用!)

-----BEGIN EC PARAMETERS-----
BggqhkjOPQMBBw==
-----END EC PARAMETERS-----
-----BEGIN EC PRIVATE KEY-----
MHcCAQEEINDgf1gprbdD6hM1ttmRC9+tOqJ+lNRtHwZahJIXfLADoAoGCCqGSM49

4j1NY29jVmAMQYrBYb+6heiv6ok+8c/zJQ==
-----END EC PRIVATE KEY-----

CertFile 是公開憑證。如果 DigiCert 提供憑證,則可以透過將 DigiCert 提供的特定於來源的憑證與 DigiCertCA.crt 檔案串連在一起來建立。

-----BEGIN CERTIFICATE-----
MIIE0zCCBFmgAwIBAgIQCkEgeFknZluZtdcJnvdFCjAKBggqhkjOPQQDAjBMMQsw
CQYDVQQGEwJVUzEVMBMGA1UEChMMRGlnaUNlcnQgSW5jMSYwJAYDVQQDEx1EaWdp
Q2VydCBFQ0MgU2VjdXJlIFNlcnZlciBDQTAeFw0xODEwMzAwMDAwMDBaFw0xOTEx
MDYxMjAwMDBaMGIxCzAJBgNVBAYTAlVTMQswCQYDVQQIEwJjYTEWMBQGA1UEBxMN
TW91bnRhaW4gVmlldzETMBEGA1UEChMKR29vZ2xlIExMQzEZMBcGA1UEAxMQYW1w
YnlleGFtcGxlLmNvbTBZMBMGByqGSM49AgEGCCqGSM49AwEHA0IABAGu0CjzWa6i

PXLGRK8i0lr7Jv6ZKPY8tfaB/c5yK404QU4HNggmAiEAlnNjIerjJOLHb8CvVaUQ
nhhn0a35nHp1yvE651W14fMwCgYIKoZIzj0EAwIDaAAwZQIwI4/7dpqJQxkQwpP3
DAjVOFdjC6PDcUIRPll3bF0srrTUXSyZ8xkM4q/RhB51A0hVAjEAsUGNYBje9RIO
wf9qyV2iHB+9cBwgKfC0KvEcBugbgHShypM8hPhV9UMC3qTpdKPx
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
MIIDrDCCApSgAwIBAgIQCssoukZe5TkIdnRw883GEjANBgkqhkiG9w0BAQwFADBh
MQswCQYDVQQGEwJVUzEVMBMGA1UEChMMRGlnaUNlcnQgSW5jMRkwFwYDVQQLExB3
d3cuZGlnaWNlcnQuY29tMSAwHgYDVQQDExdEaWdpQ2VydCBHbG9iYWwgUm9vdCBD
QTAeFw0xMzAzMDgxMjAwMDBaFw0yMzAzMDgxMjAwMDBaMEwxCzAJBgNVBAYTAlVT

loB5hWp2Jp2VDCADjT7ueihlZGak2YPqmXTNbk19HOuNssWvFhtOyPNV6og4ETQd
Ea8/B6hPatJ0ES8q/HO3X8IVQwVs1n3aAr0im0/T+Xc=
-----END CERTIFICATE-----

安裝

請依照 此處的說明設定您網站的 amppackager

請參閱 packager.js(由 amp.dev 使用)範例,了解您需要進行的伺服器端變更,以將必要的請求路由到 amppkg

測試

驗證您的預備網站在使用 HTTP 請求指定時,是否以 MIME 類型 application/signed-exchange 回應內容。例如(將 staging.example.com 替換為您的預備伺服器)

$ curl -si -H 'amp-cache-transform: google;v="1..100"' -H 'accept: application/signed-exchange;v=b3;q=0.9,*/*;q=0.8' https://staging.example.com/ | less

輸出必須包含此行

content-type: application/signed-exchange;v=b3

請求中的 v="1..100" 是預留位置。請勿比對此確切值;相反,如 amppackager 安裝說明中所述,僅檢查 amp-cache-transform 標頭是否存在,並忽略該值。

回應中的 v=b3 版本字串是截至 2019 年 8 月的版本。此版本將會變更。

回應的大部分應為您的 AMP 頁面(以純文字格式)。有一個小的二進位標頭,並且,如果頁面 > 16kb,則會散佈一些二進位位元組。

dump-signedexchange 工具可用於檢查回應

$ curl -s --output - -H 'amp-cache-transform: google;v="1..100"' -H 'accept: application/signed-exchange;v=b3;q=0.9,*/*;q=0.8' https://staging.example.com/ > example.sxg
$ dump-signedexchange -i example.sxg
format version: 1b3

(請注意,-verify 開關此時將無法運作,因為所需的憑證不在 https://example.com/ 伺服器上。)

驗證回應始終包含 Vary 標頭,其值為 Accept,AMP-Cache-Transform(無論 MIME 類型是 text/htmlapplication/signed-exchange 還是其他類型)

$ curl -si https://staging.example.com/ | less

此輸出必須包含此行

vary: Accept,AMP-Cache-Transform

將封裝工具部署到正式環境

安裝

根據您的正式環境調整上述預備部署步驟。

測試

使用命令列工具

執行與上述相同的測試。dump-signedexchange -verify 現在也應成功。

使用 Chrome

您也可以在 Chrome 中使用 ModHeader 擴充功能進行測試。從 Chrome Webstore 安裝它,並將 Request Headers 設定為 amp-cache-transformValuegoogle

在請求 https://example.com/ 之後,您的伺服器將提供簽名交換,但它應看起來和行為與之前相同。您需要檢查是否透過 DevTools 主控台正確傳回簽名交換。

Network 標籤下,按一下您的網域名稱,並檢查 Preview 下是否出現 Signed HTTP exchange

使用 Google AMP 快取

確認簽名交換與 Google AMP 快取相容。這與它們在 Google 搜尋等搜尋引擎上的可探索性有關。

若要在 Google AMP 快取中測試簽名交換,請開啟 DevTools 中的網路標籤,啟用 Preserve log,並造訪類似 https://example-com.cdn.ampproject.org/wp/s/example.com/ 的 URL。

如果請求成功,DevTools 將顯示帶有 signed-exchange 列的 200from signed-exchange 列。

如果失敗,簽名交換列將會遺失,或者它們將會以紅色突出顯示。也可能存在提供其他資訊的 warning 標頭。

如果您的 AMP 頁面已成功作為簽名交換分發,則其搜尋結果將顯示 AMP 閃電符號,與之前相同,但點擊結果將在 URL 列中顯示 https://example.com,而不是以 https://www.google.com/amp/…. 開頭的 URL。此外,viewer 列將不會出現。

在 DevTools 主控台中,在 network 標籤下,您將能夠在 type 欄下看到 signed-exchange

簽名交換服務供應商

以下是提供簽名交換開箱即用支援的 CDN 和託管供應商列表。使用其中一個是開始使用簽名交換的最簡單方法