The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Новая версия nginx 1.29.1. Представлен модуль ngx_http_acme

14.08.2025 08:24

Опубликован выпуск основной ветки nginx 1.29.1, в которой продолжается развитие новых возможностей. В параллельно поддерживаемую стабильную ветку 1.28.x вносятся только изменения, связанные с устранением серьёзных ошибок и уязвимостей. В дальнейшем на базе основной ветки 1.29.x будет сформирована стабильная ветка 1.30. Код проекта написан на языке Си и распространяется под лицензией BSD.

В новом выпуске:

  • Устранена уязвимость (CVE-2025-53859) в модуле ngx_mail_smtp_module, приводящая к чтению данных из области памяти вне буфера при обработке специально оформленных значений логина и пароля при использовании метода аутентификации "none". Уязвимость может привести к утечке содержимого памяти рабочего процесса nginx в HTTP-запросе к внешнему серверу аутентификации. Патч.
  • По умолчанию отключено сжатие сертификатов TLSv1.3.
  • Добавлена директива "ssl_certificate_compression" для управления сжатием TLS-сертификатов.
  • В реализацию протокола QUIC добавлена поддержка режима 0-RTT, доступная на системах с OpenSSL 3.5.1 и более новыми выпусками.
  • Устранена ошибка, приводившая к буферизации HTTP-ответа 103 при использовании HTTP/2 и директивы "early_hints".
  • Устранена ошибка в обработчике параметра "none" в директиве "smtp_auth".
  • В реализации HTTP/3 решена проблема с обработкой номера порта в заголовке "Host".
  • Устранена проблема, проявлявшаяся при использовании одинаковых значений в заголовках "Host" и ":authority" при использовании HTTP/2.
  • Налажена сборка в NetBSD 10.0.

Отдельно компания F5 представила предварительный выпуск модуля ngx_http_acme, предоставляющего возможности для автоматизации запроса, получения и обновления сертификатов с использованием протокола ACMEv2 (Automatic Certificate Management Environment), применяемого удостоверяющим центром Let’s Encrypt. При использовании http_acme администраторам не нужно заботиться об обновлении сертификатов, на основе параметров в конфигурации модуль сам получит необходимые сертификаты в Let’s Encrypt или другом сервисе, поддерживающем протокол ACME. Код модуля написан на языке Rust с использованием SDK NGINX-Rust. 


   acme_issuer letsencrypt { 
       uri         https://acme-v02.api.letsencrypt.org/directory; 
       state_path  /var/cache/nginx/acme-letsencrypt; 
       accept_terms_of_service; 
   }
   server { 
       listen 80; # ACME HTTP-01 challenge
       location / { 
          return 404; 
       }  
   }

   server { 
       listen 443 ssl; 
       server_name  .example.com; 
       acme_certificate letsencrypt; 
       ssl_certificate       $acme_certificate; 
       ssl_certificate_key   $acme_certificate_key; 
       ssl_certificate_cache max=2; 
   }


  1. Главная ссылка к новости (https://github.com/nginx/nginx...)
  2. OpenNews: Новая версия nginx 1.29.0
  3. OpenNews: Выпуск Angie 1.10.0, форка Nginx
  4. OpenNews: Представлен FreeNginx, форк Nginx, созданный из-за несогласия с политикой компании F5
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/63725-nginx
Ключевые слова: nginx, acme
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (22) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 08:45, 14/08/2025 [ответить] [﹢﹢﹢] [ · · · ]  
    		• –4 +/
    > автоматизации запроса, получения и обновления сертификатов

    Уже слишком поздно. В современных серверах такой функционал был годами, и вряд ли щас все кинутся обратно в нгинкс, лишь потому что он наконец проявил какие-то редкие признаки современности. Нгинкс всё.

     
     
  • 2.2, анон (?), 08:48, 14/08/2025 [^] [^^] [^^^] [ответить]  
    		• –2 +/
    А какие есть плюсы у nginx в настоящее время? Раньше-то понятно, если сравнивать с апачем
     
     
  • 3.4, Аноним (4), 09:00, 14/08/2025 [^] [^^] [^^^] [ответить]  
    		• +/
    Плюсы у nginx сейчас такие же, как и раньше: тянет тысячи и тысячи запросов в секунду, при этом PHP не падает, а вот на apache очень даже падает. Делал высоканагруженные приложения на PHP и мне еще ни разу удалось нормально завести свою разработку на apche, а вот на nginx все без проблем работает, т. е. это все личный опыт.

    P. S. И вот не надо мне тут, что я не умею настраивать apche, все я умею, в свое время все конфиги и все нюансы изучил пытаясь подкрутить его.

     
     
  • 4.7, Tron is Whistling (?), 09:15, 14/08/2025 [^] [^^] [^^^] [ответить]  
    		• +5 +/
    У нгинха внезапно нет php, есть только интерфейс к fpm. На апаче тоже можно mpm_event завести и дальше mod_proxy к fpm, в итоге будет не сильно нагруженнее нгинха.

    И да, ты действительно не умеешь крутить апач.

     
     
  • 5.12, Аноним (12), 09:49, 14/08/2025 [^] [^^] [^^^] [ответить]  
    		• +/
    Почему, есть, называется nginx unit, только это совсем другой продукт. Кстати довольно неплохой.
     
  • 4.15, User (??), 10:24, 14/08/2025 [^] [^^] [^^^] [ответить]  
    		• +/
    Нафига тебе тысячи и тысячи запросов index.html с диска? Или ты про robots.txt?
     
  • 4.29, Sadok (ok), 12:27, 14/08/2025 [^] [^^] [^^^] [ответить]  
    		• +/
    т.е. ты жопу вытирал сначала левой рукой, потом правой и пришел к выводу, что от редьки тебя пучит меньше, чем от гороха?
     
  • 3.14, User (??), 10:23, 14/08/2025 [^] [^^] [^^^] [ответить]  
    		• +/
    Нуээээ... некоторые админы (думают, что) его знают.
     
  • 2.18, Аноним (18), 11:14, 14/08/2025 [^] [^^] [^^^] [ответить]  
    		• +/
    >Нгинкс всё.

    Ты сказал?

     
  • 2.19, Cyd (?), 11:31, 14/08/2025 [^] [^^] [^^^] [ответить]  
    		• +/
    а чем, кстати, в этом сезоне модно раздавать статику и дергать бэкенды?
     
     
  • 3.21, пох. (?), 11:34, 14/08/2025 [^] [^^] [^^^] [ответить]  
    		• +2 +/
    в этом сезоне немодно статику. Жизненно необходимо favicon.ico хранить в amazon s3!

     
     
  • 4.23, 12yoexpert (ok), 11:46, 14/08/2025 [^] [^^] [^^^] [ответить]  
    		• +/
    на этой неделе прячут за клаудфларью
     
  • 2.24, 12yoexpert (ok), 11:48, 14/08/2025 [^] [^^] [^^^] [ответить]  
    		• +/
    а что сейчас модно деплоить в джава-голанг-кластеры среди аркитект-кидди, чтобы был хайлоад, как в настоящщих подкастах, пока мамка руки не поотбивала?
     

  • 1.16, пох. (?), 11:05, 14/08/2025 Скрыто ботом-модератором [﹢﹢﹢] [ · · · ]     [к модератору]
    		• –1 +/
     
  • 1.17, freehck (ok), 11:08, 14/08/2025 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    > предварительный выпуск модуля ngx_http_acme

    это конечно всё очень интересно, но во-первых там всего лишь http-челлендж поддерживается, а dns-челлендж в большинстве случаев куда удобнее, а во-вторых, как они себе представляют дальнейшее добавление dns-челленджей без ущерба безопасности nginx-а? Всё-таки подобные вещи лучше держать за пределами веб-сервера.

     
     
  • 2.20, пох. (?), 11:33, 14/08/2025 [^] [^^] [^^^] [ответить]  
    		• +2 +/
    как ты себе представляешь dns-01 в веб-сервере?

    > а dns-челлендж в большинстве случаев куда удобнее

    в большинстве случаев он совершенно излишен.

    Необходимо и достаточно для 99% сайтов-однодневок автоматически получить совершенно им ненужный сертификат и так же автоматически его обновить через пол-дня согласно новым улучшенным требованиям. И всьо.

    А для обработки платежей неплохо бы хранить ключи не в /tmp с правами 666, для начала. И может быть даже, о ужас, зашифрованными и с ручной разблокировкой. Хотя, конечно, на самом деле все равно свалят в /tmp и сделают "ЧМОД" а потом еще в гитляп и шитхап закомитят для надежности. А тогда нафига было стараться и с основным сайтом-то?

     
     
  • 3.22, Аноним (22), 11:46, 14/08/2025 [^] [^^] [^^^] [ответить]  
    		• +/
    dns-01 в веб-сервере можно сделать, дергая API dns-сервера (ограничившись dns-серверами, где API есть). Тут бы вполне пригодился njs, чтобы не писать плагины на C/Rust под каждый API.
     
     
  • 4.28, пох. (?), 12:27, 14/08/2025 [^] [^^] [^^^] [ответить]  
    		• +/
    если у тебя есть доступ к этому апи у веб-мордочки - у тебя уже все плохо.

     
  • 3.25, Tron is Whistling (?), 11:53, 14/08/2025 [^] [^^] [^^^] [ответить]  
    		• +/
    > как ты себе представляешь dns-01 в веб-сервере?

    Да элементарно, можно таки dynamic update подёргать. Тот же вайлдкард без dns-01 не выпихать.

     
     
  • 4.27, пох. (?), 12:27, 14/08/2025 [^] [^^] [^^^] [ответить]  
    		• +/
    > Да элементарно, можно таки dynamic update подёргать.

    я бы предпочел чтобы веб-сервер таки не имел доступа ни к каким dynamic updates. И вот особенно - основного домена самого веб-сервера (авторам идеи надо было бы кол в бошку вбить за то что они не додумались выделить субдомен для своих игрищ и еще и запихали запрещенный символ в имя записи)

    > Тот же вайлдкард без dns-01 не выпихать.

    тот же вайлдкард низачем и не нужен при автоматизированном получении стольких сертификатов сколько душа жаждет.
    Он был нужен прежде всего чтобы сэкономить усилия (и еще немножечко вредить). А машина - она железная.

     

  • 1.26, СижуПежу (?), 12:07, 14/08/2025 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    > с использованием SDK NGINX-Rust

    "И ты Брут!"  Всё, для меня этот зашкварный сервер больше не существует.

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:

    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей     		Created 1996-2025 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру