Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Новая версия nginx 1.29.1. Представлен модуль ngx_http_acme"	+/–
Сообщение от opennews (??), 14-Авг-25, 08:45
Опубликован выпуск основной ветки nginx 1.29.1, в  которой продолжается развитие новых возможностей. В параллельно поддерживаемую стабильную ветку 1.28.x вносятся только изменения, связанные с устранением серьёзных ошибок и уязвимостей. В дальнейшем на базе основной ветки 1.29.x будет сформирована стабильная ветка 1.30. Код проекта написан на языке Си и распространяется под лицензией BSD... Подробнее: https://www.opennet.me/opennews/art.shtml?num=63725
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по ответам | RSS]

1. Сообщение от Аноним (1), 14-Авг-25, 08:45	–5 +/–
> автоматизации запроса, получения и обновления сертификатов Уже слишком поздно. В современных серверах такой функционал был годами, и вряд ли щас все кинутся обратно в нгинкс, лишь потому что он наконец проявил какие-то редкие признаки современности. Нгинкс всё.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #2, #18, #19, #24, #34

2. Сообщение от анон (?), 14-Авг-25, 08:48	–2 +/–
А какие есть плюсы у nginx в настоящее время? Раньше-то понятно, если сравнивать с апачем
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #4, #14

4. Сообщение от Аноним (4), 14-Авг-25, 09:00	+1 +/–
Плюсы у nginx сейчас такие же, как и раньше: тянет тысячи и тысячи запросов в секунду, при этом PHP не падает, а вот на apache очень даже падает. Делал высоканагруженные приложения на PHP и мне еще ни разу удалось нормально завести свою разработку на apche, а вот на nginx все без проблем работает, т. е. это все личный опыт. P. S. И вот не надо мне тут, что я не умею настраивать apche, все я умею, в свое время все конфиги и все нюансы изучил пытаясь подкрутить его.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #7, #15, #29, #32

7. Сообщение от Tron is Whistling (?), 14-Авг-25, 09:15	+5 +/–
У нгинха внезапно нет php, есть только интерфейс к fpm. На апаче тоже можно mpm_event завести и дальше mod_proxy к fpm, в итоге будет не сильно нагруженнее нгинха. И да, ты действительно не умеешь крутить апач.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #12

12. Сообщение от Аноним (12), 14-Авг-25, 09:49	+/–
Почему, есть, называется nginx unit, только это совсем другой продукт. Кстати довольно неплохой.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7

14. Сообщение от User (??), 14-Авг-25, 10:23	+/–
Нуээээ... некоторые админы (думают, что) его знают.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2

15. Сообщение от User (??), 14-Авг-25, 10:24	–2 +/–
Нафига тебе тысячи и тысячи запросов index.html с диска? Или ты про robots.txt?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4

16. Сообщение от пох. (?), 14-Авг-25, 11:05    Скрыто ботом-модератором	+/–
уря, теперь F5 копипастит код из agnie. (но что-то как-то медленно получается - "предварительная версия" того что сто лет как работает) не то чтобы этот модуль конечно уже был кому-то сильно нужен...
Ответить | Правка | Наверх | Cообщить модератору

17. Сообщение от freehck (ok), 14-Авг-25, 11:08	+/–
> предварительный выпуск модуля ngx_http_acme это конечно всё очень интересно, но во-первых там всего лишь http-челлендж поддерживается, а dns-челлендж в большинстве случаев куда удобнее, а во-вторых, как они себе представляют дальнейшее добавление dns-челленджей без ущерба безопасности nginx-а? Всё-таки подобные вещи лучше держать за пределами веб-сервера.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #20

18. Сообщение от Аноним (18), 14-Авг-25, 11:14	+1 +/–
>Нгинкс всё. Ты сказал?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

19. Сообщение от Cyd (?), 14-Авг-25, 11:31	+/–
а чем, кстати, в этом сезоне модно раздавать статику и дергать бэкенды?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #21

20. Сообщение от пох. (?), 14-Авг-25, 11:33	+1 +/–
как ты себе представляешь dns-01 в веб-сервере? > а dns-челлендж в большинстве случаев куда удобнее в большинстве случаев он совершенно излишен. Необходимо и достаточно для 99% сайтов-однодневок автоматически получить совершенно им ненужный сертификат и так же автоматически его обновить через пол-дня согласно новым улучшенным требованиям. И всьо. А для обработки платежей неплохо бы хранить ключи не в /tmp с правами 666, для начала. И может быть даже, о ужас, зашифрованными и с ручной разблокировкой. Хотя, конечно, на самом деле все равно свалят в /tmp и сделают "ЧМОД" а потом еще в гитляп и шитхап закомитят для надежности. А тогда нафига было стараться и с основным сайтом-то?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17 Ответы: #22, #25, #45

21. Сообщение от пох. (?), 14-Авг-25, 11:34	+2 +/–
в этом сезоне немодно статику. Жизненно необходимо favicon.ico хранить в amazon s3!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19 Ответы: #23

22. Сообщение от Аноним (22), 14-Авг-25, 11:46	+/–
dns-01 в веб-сервере можно сделать, дергая API dns-сервера (ограничившись dns-серверами, где API есть). Тут бы вполне пригодился njs, чтобы не писать плагины на C/Rust под каждый API.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20 Ответы: #28

23. Сообщение от 12yoexpert (ok), 14-Авг-25, 11:46	+1 +/–
на этой неделе прячут за клаудфларью
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21

24. Сообщение от 12yoexpert (ok), 14-Авг-25, 11:48	+/–
а что сейчас модно деплоить в джава-голанг-кластеры среди аркитект-кидди, чтобы был хайлоад, как в настоящщих подкастах, пока мамка руки не поотбивала?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

25. Сообщение от Tron is Whistling (?), 14-Авг-25, 11:53	+/–
> как ты себе представляешь dns-01 в веб-сервере? Да элементарно, можно таки dynamic update подёргать. Тот же вайлдкард без dns-01 не выпихать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20 Ответы: #27

26. Сообщение от СижуПежу (?), 14-Авг-25, 12:07	+/–
> с использованием SDK NGINX-Rust "И ты Брут!"  Всё, для меня этот зашкварный сервер больше не существует.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #31, #36

27. Сообщение от пох. (?), 14-Авг-25, 12:27	+/–
> Да элементарно, можно таки dynamic update подёргать. я бы предпочел чтобы веб-сервер таки не имел доступа ни к каким dynamic updates. И вот особенно - основного домена самого веб-сервера (авторам идеи надо было бы кол в бошку вбить за то что они не додумались выделить субдомен для своих игрищ и еще и запихали запрещенный символ в имя записи) > Тот же вайлдкард без dns-01 не выпихать. тот же вайлдкард низачем и не нужен при автоматизированном получении стольких сертификатов сколько душа жаждет. Он был нужен прежде всего чтобы сэкономить усилия (и еще немножечко вредить). А машина - она железная.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25 Ответы: #37, #41, #44

28. Сообщение от пох. (?), 14-Авг-25, 12:27	+/–
если у тебя есть доступ к этому апи у веб-мордочки - у тебя уже все плохо.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22 Ответы: #30, #39

29. Сообщение от Sadok (ok), 14-Авг-25, 12:27	+/–
т.е. ты жопу вытирал сначала левой рукой, потом правой и пришел к выводу, что от редьки тебя пучит меньше, чем от гороха?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4

30. Сообщение от Аноним (30), 14-Авг-25, 13:12	+/–
многие думают, что апи существует для того, чтобы дергать его из любого места :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28 Ответы: #33

31. Сообщение от Аноним (31), 14-Авг-25, 13:13	+1 +/–
Ну это все меняет! Инторнеты не переживут этого.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #26

32. Сообщение от Аноним (32), 14-Авг-25, 13:13    Скрыто ботом-модератором	+/–
https://www.netcraft.com/blog/july-2025-web-server-survey
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #40

33. Сообщение от пох. (?), 14-Авг-25, 13:13	+/–
> многие думают, что апи существует для того, чтобы дергать его из любого > места :) оно потом _оказывается_ что так и есть ;-)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #30 Ответы: #35

34. Сообщение от bergentroll (ok), 14-Авг-25, 13:19	+1 +/–
Современные сервера́ — это какие?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

35. Сообщение от Аноним (30), 14-Авг-25, 14:16	+/–
> оно потом _оказывается_ что так и есть ;-) для публичных апи может и быть, менеджмент апи - нет, сугубо приватное (изолированное от несанкционированного доступа).
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #33

36. Сообщение от Аноним (36), 14-Авг-25, 14:24	+1 +/–
Станет слишком мало CVE на твоем сервере?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #26 Ответы: #43

37. Сообщение от Tron is Whistling (?), 14-Авг-25, 14:43	+/–
Ды ладно, why not. Разрешить вот конкретный _acme_challenge TXT подёргать - невелика беда. Тем более, что это не в контексте пользователя в том же апаче будет дёргаться, а в контексте основного процесса. > тот же вайлдкард низачем и не нужен при автоматизированном получении стольких сертификатов Сейчас если лучшая идиотская идея в виде срока жизни в 30 дней пройдёт - уже будет нужен...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #27 Ответы: #38

38. Сообщение от Tron is Whistling (?), 14-Авг-25, 14:44	+/–
// в менее 30 дней
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #37

39. Сообщение от Tron is Whistling (?), 14-Авг-25, 14:46	+/–
А там не надо доступ к апи у веб-мордочки. Там надо доступ у основного процесса мордочки, юзеры в него не смотрят. Ну и даже если проломится до рута - а чего оно кроме единственного TXT подёргает-то... Мне больше нравится само наличие ключей от ACME в контексте вёб-мордочки, поэтому я эти механизмы не использую вообще, генерацией сертификатов занимается совершенно отдельный сервис, который как раз DNS может подёргать, и уже потом их апдейтит в вебню.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28 Ответы: #42

40. Сообщение от Tron is Whistling (?), 14-Авг-25, 14:48	+/–
Судя по тому, как там отхер растёт, статистика уже не отражает действительности, те же апачи и т.п. просто не афишируют себя или находятся за балансерами, скрывающими инфру.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #32

41. Сообщение от Аноним (30), 14-Авг-25, 14:50	+/–
> я бы предпочел чтобы я помню времена когда бинд (нейм сервер) и апач на одном сервере крутились :)))))
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #27

42. Сообщение от Аноним (30), 14-Авг-25, 14:52	+/–
> занимается совершенно отдельный сервис разделение труда :) эй нджинкс, завари ка чаю
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #39

43. Сообщение от Аноним (43), 14-Авг-25, 15:27	+/–
Ну так он живёт этим - круглосуточно админит дырявые поделия, с понедельника по пятницу и иногда по выходным (когда нужен благовидный предлог чтобы из дома свалить), было что писать начальству в отчеты, причём всегда "виноват не я! Это разработчики не настоящие, а руко}|{опые погромизды, одни CVEшки пишуть! А другого подходящего софта у меня для вас нет!". А теперь появилась угроза - после первоначальной _правильной_ настройки растовские поделия будут тихо-мирно работать и не жужжать. Обычное же начальство по-прежнему не понимает, за что админы зарплату получают, если не скачут по зданию с оппой в мыле. Вот он и разволновался.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #36

44. Сообщение от freehck (ok), 14-Авг-25, 15:38	+/–
> тот же вайлдкард низачем и не нужен при автоматизированном получении стольких сертификатов сколько душа жаждет Ровно до тех пор, пока ты не захочешь, чтобы домен не светился в логах Certificate Transparency.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #27

45. Сообщение от freehck (ok), 14-Авг-25, 16:05	+/–
>> а dns-челлендж в большинстве случаев куда удобнее > в большинстве случаев он совершенно излишен... ...там, где работает полтора землекопа. А что, если у тебя есть приватная сеть, и в ней есть домен, с которым хочется работать по https, но во внешнюю сеть он смотреть в принципе не должен? А что, если ты хочешь выставить в мир домен, но ты не хочешь, чтобы мир об этом домене узнал? Например сделать специальный домен для твоих партнёров, чтобы только они с ним работали. А что, если тебе нужно выписать сертификат в Kubernetes, ingress-контроллер которого находится за балансером с proxy-protocol-ом? Там HTTP-01 просто не будет работать из-за проблемы[1], которая существует с 2018го года, затрагивает сразу 4 системные компоненты, авторы которых искренне считают, что её должен решать кто-то другой. Все эти ситуации встречаются весьма часто, и чтобы их избежать -- нужно просто использовать челлендж DNS-01. [1] https://github.com/kubernetes/kubernetes/issues/66607
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема