<pДоступен (http://mailman.nginx.org/pipermail/nginx-announce/2018/00021...) выпуск основной ветки nginx 1.15.3 (http://nginx.org), в рамках которой продолжается развитие новых возможностей (в параллельно поддерживаемой стабильной ветке 1.14 (https://www.opennet.ru/opennews/art.shtml?num=48454) вносятся только изменения, связанные с устранением серьёзных ошибок и уязвимостей).Основные изменения (http://nginx.org/en/CHANGES):
- Обеспечена возможность использования TLSv1.3 (https://www.opennet.ru/opennews/art.shtml?num=49126) при сборке с библиотекой BoringSSL;
- Добавлена директива "ssl_early_data (http://nginx.org/en/docs/http/ngx_http_ssl_module.html#ssl_e...)" для включения режима 0-RTT (https://tools.ietf.org/html/rfc8446#section-2.3) при использовании TLSv1.3, который позволяет сохранить ранее согласованные параметры TLS-соединения и снизить до 2 число RTT при возобновлении ранее установленного соединения;- В блок upstream" добавлены новые директивы "keepalive_timeout" и "keepalive_requests" для задания лимитов для Keepalive;
- Решены проблемы при сборке с LibreSSL 2.8.0;
- В реализации HTTP/2 устранена несовместимость с некоторыми клиентами, вызванная ошибкой в выпуске 1.13.5;
- Устранено несколько ошибок в модуле ngx_http_dav_module.
URL: http://mailman.nginx.org/pipermail/nginx-announce/2018/00021...
Новость: https://www.opennet.ru/opennews/art.shtml?num=49193
HTTP/2 priority push так и не запилили.
Они много чего не запилили. Например поддержку brotli_static.
Копеечный патч, но нет. Видимо только в коммерческой версии за денежку.
А у меня давно brotli_static работает.
>Добавлена директива "ssl_early_data" для включения режима 0-RTT при использовании TLSv1.3Вот только она работает при сборке Nginx с BoringSSL, о чем офф. документация как-то умалчивает. Но чтение коммитов просветляет -> http://hg.nginx.org/nginx/rev/ba971deb4b44
Чукча не читатель, чукча писатель? Для кого написано строчкой выше:
> Обеспечена возможность использования TLSv1.3 при сборке с библиотекой BoringSSL;
Или Changelog:
> Feature: the "ssl_early_data" directive, currently available with
> BoringSSL.
Так перечитайте коммент ещё раз и убедись, что было написано про офф.документацию, а не про данную публикацию. Ответ на вопрос кто читатель, а кто писатель - закрыт.
Если читать код, а не комментарии, то понятно, что работать будет при сборке с любым вариантом библиотеки openssl, в котором определено значение SSL_ERROR_EARLY_DATA_REJECTED и есть функции SSL_CTX_set_early_data_*.Другой вопрос, что на данный момент такая библиотека одна.
Еще бы мануал, как настроить TLSv1.3 правильно и кошерно...
+безопасно и анонимно
+ без регистрации и смс
Тут должен скоро появиться:
https://mozilla.github.io/server-side-tls/ssl-config-generator/