Новая версия nginx 1.29.1. Представлен модуль ngx_http

Новая версия nginx 1.29.1. Представлен модуль ngx_http_acme

14.08.2025 08:24

Опубликован выпуск основной ветки nginx 1.29.1, в которой продолжается развитие новых возможностей. В параллельно поддерживаемую стабильную ветку 1.28.x вносятся только изменения, связанные с устранением серьёзных ошибок и уязвимостей. В дальнейшем на базе основной ветки 1.29.x будет сформирована стабильная ветка 1.30. Код проекта написан на языке Си и распространяется под лицензией BSD.

В новом выпуске:

Устранена уязвимость (CVE-2025-53859) в модуле ngx_mail_smtp_module, приводящая к чтению данных из области памяти вне буфера при обработке специально оформленных значений логина и пароля при использовании метода аутентификации "none". Уязвимость может привести к утечке содержимого памяти рабочего процесса nginx в HTTP-запросе к внешнему серверу аутентификации. Патч.
По умолчанию отключено сжатие сертификатов TLSv1.3.
Добавлена директива "ssl_certificate_compression" для управления сжатием TLS-сертификатов.
В реализацию протокола QUIC добавлена поддержка режима 0-RTT, доступная на системах с OpenSSL 3.5.1 и более новыми выпусками.
Устранена ошибка, приводившая к буферизации HTTP-ответа 103 при использовании HTTP/2 и директивы "early_hints".
Устранена ошибка в обработчике параметра "none" в директиве "smtp_auth".
В реализации HTTP/3 решена проблема с обработкой номера порта в заголовке "Host".
Устранена проблема, проявлявшаяся при использовании одинаковых значений в заголовках "Host" и ":authority" при использовании HTTP/2.
Налажена сборка в NetBSD 10.0.

Отдельно компания F5 представила предварительный выпуск модуля ngx_http_acme, предоставляющего возможности для автоматизации запроса, получения и обновления сертификатов с использованием протокола ACMEv2 (Automatic Certificate Management Environment), применяемого удостоверяющим центром Let’s Encrypt. При использовании http_acme администраторам не нужно заботиться об обновлении сертификатов, на основе параметров в конфигурации модуль сам получит необходимые сертификаты в Let’s Encrypt или другом сервисе, поддерживающем протокол ACME. Код модуля написан на языке Rust с использованием SDK NGINX-Rust.


   acme_issuer letsencrypt { 
       uri         https://acme-v02.api.letsencrypt.org/directory; 
       state_path  /var/cache/nginx/acme-letsencrypt; 
       accept_terms_of_service; 
   }
   server { 
       listen 80; # ACME HTTP-01 challenge
       location / { 
          return 404; 
       }  
   }

   server { 
       listen 443 ssl; 
       server_name  .example.com; 
       acme_certificate letsencrypt; 
       ssl_certificate       $acme_certificate; 
       ssl_certificate_key   $acme_certificate_key; 
       ssl_certificate_cache max=2; 
   }

исправить +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/63725-nginx

Ключевые слова: nginx, acme

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (12)

1.1, Аноним (1), 08:45, 14/08/2025 [ответить] [﹢﹢﹢] [ · · · ]	–2 +/–
> автоматизации запроса, получения и обновления сертификатов Уже слишком поздно. В современных серверах такой функционал был годами, и вряд ли щас все кинутся обратно в нгинкс, лишь потому что он наконец проявил какие-то редкие признаки современности. Нгинкс всё.

2.2, анон (?), 08:48, 14/08/2025 [^] [^^] [^^^] [ответить]	+1 +/–
А какие есть плюсы у nginx в настоящее время? Раньше-то понятно, если сравнивать с апачем

3.4, Аноним (4), 09:00, 14/08/2025 [^] [^^] [^^^] [ответить]	–2 +/–
Плюсы у nginx сейчас такие же, как и раньше: тянет тысячи и тысячи запросов в секунду, при этом PHP не падает, а вот на apache очень даже падает. Делал высоканагруженные приложения на PHP и мне еще ни разу удалось нормально завести свою разработку на apche, а вот на nginx все без проблем работает, т. е. это все личный опыт. P. S. И вот не надо мне тут, что я не умею настраивать apche, все я умею, в свое время все конфиги и все нюансы изучил пытаясь подкрутить его.

4.7, Tron is Whistling (?), 09:15, 14/08/2025 [^] [^^] [^^^] [ответить]	+1 +/–
У нгинха внезапно нет php, есть только интерфейс к fpm. На апаче тоже можно mpm_event завести и дальше mod_proxy к fpm, в итоге будет не сильно нагруженнее нгинха. И да, ты действительно не умеешь крутить апач.

5.12, Аноним (12), 09:49, 14/08/2025 [^] [^^] [^^^] [ответить]	+/–
Почему, есть, называется nginx unit, только это совсем другой продукт. Кстати довольно неплохой.

1.3, тодорыч (?), 08:49, 14/08/2025 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
ACME да ещё на педоRust'e! Это бинго, надо ставить срочно!

2.6, Аноним (6), 09:15, 14/08/2025 [^] [^^] [^^^] [ответить]	–2 +/–
Какая тебе разница на чем оно, если оно выполняет совю функцию. Не нравиться ну перепеши на Си ну или чатжпт попроси, сам то вряд ли осилишь.

3.8, Tron is Whistling (?), 09:16, 14/08/2025 [^] [^^] [^^^] [ответить]	–1 +/–
Зачем, если можно просто не дотрагиваться.

3.10, 12yoexpert (ok), 09:33, 14/08/2025 [^] [^^] [^^^] [ответить]

+/–

> Не нравиться ну перепеши

стопроцентная корреляция, это правило работает всегда

не существует ни одного грамотного фанатика раст

3.11, Аноним (11), 09:48, 14/08/2025 [^] [^^] [^^^] [ответить]	+/–
> Не нравиться ну перепеши на Си всмысле обратно на Си переписать?

1.5, Tron is Whistling (?), 09:13, 14/08/2025 Скрыто ботом-модератором [﹢﹢﹢] [ · · · ] [к модератору]	+/–

1.9, 12yoexpert (ok), 09:32, 14/08/2025 Скрыто ботом-модератором [﹢﹢﹢] [ · · · ] [к модератору]	+/–

игнорирование участников | лог модерирования

Добавить комментарий

Текст: