ProHoster > Blog > warta internét > nginx 1.16.0 ngabebaskeun

nginx 1.16.0 ngabebaskeun

Sanggeus sataun pangwangunan diwakilan ku cabang stabil anyar server HTTP kinerja tinggi na multiprotocol server proxy nginx 1.16.0, nu nyerep parobahan akumulasi dina cabang utama 1.15.x. Dina mangsa nu bakal datang, sagala parobahan dina cabang stabil 1.16 bakal patali jeung ngaleungitkeun kasalahan serius tur vulnerabilities. Cabang utama nginx 1.17 baris geura-giru kabentuk, dina nu ngembangkeun fitur anyar bakal neruskeun. Pikeun pangguna biasa anu henteu ngagaduhan tugas pikeun mastikeun kasaluyuan sareng modul pihak katilu, disarankeun nganggo cabang utama, dumasar kana sékrési produk komérsial Nginx Plus kabentuk unggal tilu bulan.

Perbaikan anu paling kasohor ditambah nalika pamekaran cabang hulu 1.15.x:

  • Ditambahkeun kamampuan ngagunakeun variabel dina 'directivesssl_sertipikat'jeung'ssl_certificate_key', anu tiasa dianggo pikeun ngamuat sertipikat sacara dinamis;
  • Ditambahkeun kamampuan pikeun ngamuat sertipikat SSL sareng konci rahasia tina variabel tanpa nganggo file perantara;
  • Di blok"hulu"Diréktif anyar dilaksanakeun"acak", kalayan bantosan anjeun tiasa ngatur kasaimbangan beban kalayan pilihan acak tina server pikeun neraskeun sambungan;
  • Dina modul ngx_stream_ssl_preread variabel dilaksanakeun $ssl_preread_protocol,
    nu nangtukeun versi pangluhurna SSL / protokol TLS nu klien ngarojong. Variabel ngamungkinkeun nyieun konfigurasi pikeun aksés ngagunakeun rupa protokol kalawan jeung tanpa SSL ngaliwatan hiji port jaringan nalika proxying lalulintas ngagunakeun http sarta modul stream. Contona, pikeun ngatur aksés via SSH na HTTPS ngaliwatan hiji port, port 443 bisa diteruskeun sacara standar ka SSH, tapi lamun versi SSL diartikeun, maju ka HTTPS.

  • Variabel anyar geus ditambahkeun kana modul hulu "$upstream_bytes_sent", nu mintonkeun jumlah bait ditransfer ka server grup;
  • Pikeun modul walungan leutik dina hiji sési, kamampuhan pikeun ngolah sababaraha datagrams UDP asup ti klien geus ditambahkeun;
  • Diréktif"proxy_requests", Nangtukeun jumlah datagrams nampi ti klien, sanggeus ngahontal nu ngariung antara klien tur sési UDP aya dihapus. Saatos nampi jumlah datagram anu ditangtukeun, datagram salajengna anu ditampi ti klien anu sami ngamimitian sési énggal;
  • Diréktif ngadangukeun kiwari mibanda kamampuhan pikeun nangtukeun rentang port;
  • Diréktif ditambahkeun"ssl_early_data»pikeun ngaktipkeun mode 0-RTT lamun maké TLSv1.3, nu ngidinan Anjeun pikeun ngahemat parameter sambungan TLS disawalakeun saméméhna tur ngurangan jumlah RTTs ka 2 nalika neruskeun sambungan ngadegkeun saméméhna;
  • Directives anyar geus ditambahkeun pikeun ngonpigurasikeun keepalive pikeun sambungan kaluar (ngaktifkeun atawa nganonaktipkeun pilihan SO_KEEPALIVE pikeun sockets):

  • Dina diréktif "limit_req" ditambahkeun parameter anyar "reureuh", nu nangtukeun wates nu sanggeus requests kaleuleuwihan nu nyangsang;
  • Directives anyar "keepalive_timeout" jeung "keepalive_requests" geus ditambahkeun kana blok "hulu" pikeun set wates pikeun Keepalive;
  • The "ssl" diréktif geus deprecated, diganti ku parameter "ssl" dina diréktif "ngadangukeun". Sertipikat SSL anu leungit ayeuna dideteksi dina tahap uji konfigurasi nalika nganggo diréktif "ngadangukeun" sareng parameter "ssl" dina setélan;
  • Lamun maké diréktif reset_timedout_connection, sambungan ayeuna ditutup ku kode 444 nalika waktu béakna;
  • Kasalahan SSL "pamenta http", "pamenta proxy HTTP", "protokol anu henteu didukung" sareng "versi low teuing" ayeuna dipintonkeun dina log kalayan tingkat "info" tinimbang "crit";
  • Ditambahkeun dukungan pikeun metode polling dina sistem Windows nalika nganggo Windows Vista sareng engké;
  • Kamungkinan ngagunakeun TLSv1.3 nalika ngawangun kalawan perpustakaan BoringSSL, teu ngan OpenSSL.

sumber: opennet.ru

Tambahkeun komentar