The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Выпуск nginx 1.23.4 с включением по умолчанию TLSv1.3

28.03.2023 22:34

Сформирован выпуск основной ветки nginx 1.23.4, в рамках которой продолжается развитие новых возможностей. В параллельно поддерживаемой стабильной ветке 1.22.x вносятся только изменения, связанные с устранением серьёзных ошибок и уязвимостей. В дальнейшем на базе основной ветки 1.23.x будет сформирована стабильная ветка 1.24.

Среди изменений:

  • По умолчанию включён протокол TLSv1.3.
  • Обеспечен вывод предупреждения в случае переопределения настроек используемых протоколов для слушающего сокета.
  • При использовании клиентом режима "pipelining" обеспечено закрытие соединений с ожиданием дополнительных данных (lingering close).
  • В модуле ngx_http_gzip_static_module добавлена поддержка байтовых диапазонов (byte range).
  • С "crit" на "info" изменён уровень логгирования для SSL-ошибок "data length too long", "length too short", "bad legacy version", "no shared signature algorithms", "bad digest length", "missing sigalgs extension", "encrypted length too long", "bad length", "bad key update", "mixed handshake and non handshake data", "ccs received early", "data between ccs and finished", "packet length too long", "too many warn alerts", "record too small" и "got a fin before a ccs".
  • Налажена работа диапазонов портов в директиве listen.
  • Решена проблема с выбором неверного блока location в случае использования префиксного location длиннее 255 символов.
  • В модулях ngx_http_autoindex_module и ngx_http_dav_module, а также в директиве include добавлена поддержка не-ASCII символов в именах файлов на платформе Windows.
  • Устранена утечка сокетов при использовании HTTP/2 и директивы error_page для перенаправления ошибок с кодом 400.


  1. Главная ссылка к новости (http://nginx.org/#2023-03-28...)
  2. OpenNews: Доступен Angie 1.1.0, форк Nginx от группы бывших разработчиков
  3. OpenNews: Первый выпуск Angie, форка Nginx от разработчиков, ушедших из компании F5
  4. OpenNews: Обновление nginx 1.22.1 и 1.23.2 с устранением уязвимостей
  5. OpenNews: Cloudflare перешёл с NGINX на собственный прокcи Pingora, написанный на языке Rust
  6. OpenNews: Релиз nginx 1.23.0
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/58882-nginx
Ключевые слова: nginx
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (46) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 22:37, 28/03/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    QUIC? Когда?
     
     
  • 2.2, Аноним (2), 22:48, 28/03/2023 [^] [^^] [^^^] [ответить]  
  • +/
    https://docs.litespeedtech.com/lsws/cp/cpanel/quic-http3/
     
  • 2.3, Sw00p aka Jerom (?), 22:52, 28/03/2023 [^] [^^] [^^^] [ответить]  
  • +8 +/
    в топку веб по udp, приспешникам клаудфлейра и всяких гуглов гореть в аду!
     
     
  • 3.42, Аноним (42), 17:29, 29/03/2023 [^] [^^] [^^^] [ответить]  
  • +/
    А почему? Можешь развернуть тезис?
     
     
  • 4.44, Sw00p aka Jerom (?), 22:56, 29/03/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > А почему? Можешь развернуть тезис?

    коротко вот тут https://www.cloudflare.com/learning/ddos/what-is-a-quic-flood/

    пс: и промолчу про всякие стейтфул инспекшены

     
     
  • 5.51, Аноним (42), 18:53, 30/03/2023 [^] [^^] [^^^] [ответить]  
  • +/
    По ссылке написано, что QUIC годная вещь. Можешь объяснить своими словами, что не так с QUIC? И пожалуйста не молчи «про всякие стейтфул инспекшены», не надо. Расскажи подробнее.
     
     
  • 6.52, Sw00p aka Jerom (?), 21:28, 30/03/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > По ссылке написано, что QUIC годная вещь.

    Ок, че мне еще добавить?

    >Можешь объяснить своими словами, что не так с QUIC?

    Вам же ясно из ссылки, мне нечего добавить.

    > Расскажи подробнее.

    Курс ЦЦна вам в помощь


     
     
  • 7.53, Аноним (42), 01:23, 31/03/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Так бы и сказал сразу, что не знаешь особо, так повторяешь не думая.
     
     
  • 8.55, Sw00p aka Jerom (?), 08:16, 31/03/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Жду, что вы там говорили про годноту ... текст свёрнут, показать
     
     
  • 9.56, Аноним (42), 20:24, 31/03/2023 [^] [^^] [^^^] [ответить]  
  • +/
    В первом же предложении Теперь давай рассказывай, какие у него проблемы, что пр... текст свёрнут, показать
     
     
  • 10.57, Sw00p aka Jerom (?), 22:23, 31/03/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Дальше читайте ... текст свёрнут, показать
     
  • 2.6, Аноним (6), 23:58, 28/03/2023 [^] [^^] [^^^] [ответить]  
  • +/
    А разве роскомпозор перестал HTTP/3 блокировать ? Что то не слыхать ...
     
     
  • 3.8, Аноним (8), 00:05, 29/03/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Проблемы роскомпозора. Если мне не надо больше будет ждать ответ каждого ресурса несколько секунд это значит апгрейд протокола того стоил.
     
     
  • 4.9, Аноним (6), 00:12, 29/03/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Когда после ожидания заблокированного соединения браузер сбрасывает его и снова соединяется по "древнему" HTTP/2 это ооочень быстро ... То то все с прошлого марта стали отключать фенечку в браузерах .
     
     
  • 5.14, Аноним (8), 01:35, 29/03/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Он вроде не так включается, апгрейд с 2 только если работает? С 2 конечно было prior_knowledge для ощутимого ускорения, такое обломается.
     
     
  • 6.22, Аноним (22), 09:08, 29/03/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Сначала по HTTP3 , при неудаче - повторное соединение по HTTP2 или ниже . Всё на ntc.party пережевали .
     
     
  • 7.27, Аноним (27), 09:38, 29/03/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    В Китае даже телеграмм смогли успешно заблокировать. Так что тут вопрос желания.  
     
     
  • 8.45, YetAnotherOnanym (ok), 09:06, 30/03/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Его и в России успешно блокировали там, где хотели именно заблокировать, а не ре... текст свёрнут, показать
     
  • 4.10, Аноним (10), 00:23, 29/03/2023 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Увы, это протокол, а не магия.
    Но не удивлюсь, если орда обезьянок будет рекламировать его как священный грааль от всех проблем с памятью^W^W
     
     
  • 5.15, Аноним (8), 01:37, 29/03/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Я просто смотрю на циферки в консоли и время запросов (и их количество). Чем меньше, тем лучше для меня.
     
     
  • 6.16, Sw00p aka Jerom (?), 08:20, 29/03/2023 [^] [^^] [^^^] [ответить]  
  • +/
    >время запросов (и их количество).

    Кек, эт разве от протокола зависит?

    пс: А во время ддоса будете смотреть на счетчик файервольных стейтов  

     
     
  • 7.18, Аноним (8), 08:35, 29/03/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Открой какой-нибудь слешдот и сравни. А по поводу запросов, эту тему двигают клоудфлейры в основном, ддосы их проблема в основном.
     
     
  • 8.26, Аноним (27), 09:37, 29/03/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Если нет никакой разницы зачем платить больше ... текст свёрнут, показать
     
  • 3.17, timur.davletshin (ok), 08:28, 29/03/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Он и не блокировал на уровне протокола.
     
     
  • 4.20, Аноним (22), 08:59, 29/03/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Именно протокол и блокировался . Разрешено соединение только для нескольких сайтов из белого списка .
     
     
  • 5.29, timur.davletshin (ok), 10:59, 29/03/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Ростелеком, свой сайт на QUIC работает (как и кучи других мелких малоизвестных). ЧЯДНТ? Из протоколов блокируется только ESNI, переименованный теперь в ECH. Да и то я это видел у Ростелекома только, у пары других всё работает.
     
     
  • 6.33, Аноним (22), 12:31, 29/03/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    И у меня рт . Несколько раз переподсоеденившись можно найти соединение где заблокированные инстаграм с твиттером нормально работают и что это доказывает ?
     
     
  • 7.35, timur.davletshin (ok), 12:50, 29/03/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > И у меня рт . Несколько раз переподсоеденившись можно найти соединение где
    > заблокированные инстаграм с твиттером нормально работают и что это доказывает ?

    Не наблюдал такого ни разу. Что это доказывает? Это доказывает то, что не блокируют. Кстати, а чем QUIC секурнее HTTP/2 (пущай даже без TLS 1.3)?

     
     
  • 8.36, Аноним (36), 14:41, 29/03/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Вопрос не в секьюрности , а в скорости и надёжности Всё блокируют , но по ан... текст свёрнут, показать
     
     
  • 9.39, timur.davletshin (ok), 15:13, 29/03/2023 [^] [^^] [^^^] [ответить]  
  • –2 +/
    QUIC сливает по критерию скорости, т к у него больше нагрузка на CPU ... текст свёрнут, показать
     
     
  • 10.54, ivan_erohin (?), 08:05, 31/03/2023 Скрыто ботом-модератором     [к модератору]
  • +/
     
  • 6.37, Аноним (36), 14:43, 29/03/2023 [^] [^^] [^^^] [ответить]  
  • +/
    ECH вообще не блокируется - все тесты проходят . Но практически не используется и на сегодня бесполезен .
     
     
  • 7.38, timur.davletshin (ok), 15:12, 29/03/2023 [^] [^^] [^^^] [ответить]  
  • +/
    На Ростелекоме все тесты ECH проваливает.
     
     
  • 8.48, Аноним (48), 13:46, 30/03/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Ну значит уходи с ростелекома и всем своим знакомым говори уходить Пусть терпят... текст свёрнут, показать
     
     
  • 9.50, timur.davletshin (ok), 14:16, 30/03/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Я без тебя решу, куда мне уходить ... текст свёрнут, показать
     
  • 6.47, Аноним (48), 13:45, 30/03/2023 [^] [^^] [^^^] [ответить]  
  • +/
    >ESNI, переименованный теперь в ECH.

    Это не правда.

     
     
  • 7.49, timur.davletshin (ok), 14:15, 30/03/2023 [^] [^^] [^^^] [ответить]  
  • +/
    >>ESNI, переименованный теперь в ECH.
    > Это не правда.

    Правда. Почитай историю с обнаружением уязвимости в дизайне ESNI и тем, как её исправили.

     
  • 4.23, Аноним (22), 09:10, 29/03/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    https://github.com/kelmenhorst/quic-censorship/issues/4
    https://ntc.party/t/http-3-quic/1823
     
  • 3.28, Аноним (28), 10:24, 29/03/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Конечно, не перестал! В этом-то и смысл!
     
  • 3.40, Аноним (40), 16:39, 29/03/2023 [^] [^^] [^^^] [ответить]  
  • +/
    К счастью, юрисдикция РКН не распространяется на весь мир.
     
  • 3.46, Аноним (48), 13:43, 30/03/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Похоже, что перестал. https://cloudflare-quic.com/ + https://github.com/bsiegel/http-version-indicator показывают, что 3
     
  • 2.19, timur.davletshin (ok), 08:36, 29/03/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    QUIC двигали на волне мобильного бума, чтобы можно было оперативнее внедрять более эффективные congestion control алгоритмы. Беда в том, что BBRv1 не оказался панацеей и в дикой природе проигрывал стандартному Cubic во всех случаев кроме сценария с большим пингом и кол-вом потерь. BBRv2 до сих пор не вышел и вообще BBR был убран из большинства реализаций в кач-ве дефолтного алгоритма.

    Более того, реализация управления потоком в userspace подвержена бОльшему jitter'у, я уже не говорю про переключение контекста ядра. Вот такая вот тянитолкайная тенденция - тянем в ядро VPN, т.к. меньше переключений контекста и выше производительность, но выносим в userspace управление потоком )))

     
  • 2.21, Аноним (21), 09:06, 29/03/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Завтра, а ты всё время сегодня спрашиваешь)
     
  • 2.31, Ilya Indigo (ok), 11:20, 29/03/2023 [^] [^^] [^^^] [ответить]  
  • +/
    https://www.openssl.org/roadmap.html
     
  • 2.34, Аноним (34), 12:41, 29/03/2023 [^] [^^] [^^^] [ответить]  
  • +/
    >QUIC? Когда?

    А смысл? Пока кривые руки не починят фильтры (для вашей же безопасности) работать не будет.
    https://ntc.party/t/http-3-quic/1823/62

     
  • 2.43, Аноним (42), 21:10, 29/03/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Там, где востребован Nginx не пользуются QUIC, там, где нужен QUIC, не пользуются Nginx. Видимо никогда или когда-то потом, но это не точно.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру