Выпуск nginx 1.29.4 с поддержкой ECH и взаимодействия с бэкендами по HTTP/2.0

Опубликован выпуск основной ветки nginx 1.29.4, в которой продолжается развитие новых возможностей. В параллельно поддерживаемую стабильную ветку 1.28.x вносятся только изменения, связанные с устранением серьёзных ошибок и уязвимостей. В дальнейшем на базе основной ветки 1.29.x будет сформирована стабильная ветка 1.30. Код проекта написан на языке Си и распространяется под лицензией BSD.

В новом выпуске:

• В модуль ngx_http_proxy добавлена поддержка протокола HTTP/2, что позволяет использовать HTTP/2 при обращении к бэкендам.
• Добавлена поддержка TLS-расширения ECH (Encrypted ClientHello), продолжающего развитие расширения ESNI (Encrypted Server Name Indication) и используемого для шифрования информации о параметрах TLS-сеансов, таких как запрошенное доменное имя. Ключевое отличие ECH от ESNI в том, что в ECH вместо шифрования на уровне отдельных полей целиком шифруется всё TLS-сообщение ClientHello, что позволяет блокировать утечки через поля, которые не охватывает ESNI, например, поле PSK (Pre-Shared Key). Использование ECH включается через указание в директиве «ssl_ech_file» файла конфигурации ECHConfig в формате PEM. Поддержка доступна при использовании сборок OpenSSL с ECH.
• Правила проверки хоста и порта в тексте запроса, заголовке «Host» и псевдо-заголовке «:authority» приведены к требованиям RFC 3986.
• Указание одного символа перевода строки в качестве завершающей последовательности в chunked-запросах или в теле ответа теперь обрабатывается как ошибка.
• Устранено аварийное завершение при использовании HTTP/3 с библиотекой OpenSSL 3.5.1+.
• Устранено аварийное завершение рабочего процесса при одновременном указании директив try_files и proxy_pass с URI.

Источник: opennet.ru