Nakon 13 mjeseci razvoja puštena nova stabilna grana HTTP poslužitelj visokih performansi i višeprotokolni proxy poslužitelj nginx 1.22.0, koji uključuje promjene akumulirane u glavnoj grani 1.21.x.
U budućnosti, sve promjene u stabilnoj grani 1.22 bit će povezane s otklanjanjem pogrešaka i ozbiljne ranjivosti. Uskoro će se formirati glavna grana nginxa 1.23 u kojoj će se nastaviti razvoj novih značajki.
Za obične korisnike koji nemaju zadatak osigurati kompatibilnost s modulima trećih strana, preporuča se korištenje glavne grane, na temelju koje se svaka tri mjeseca formiraju verzije komercijalnog proizvoda Nginx Plus.
Glavne vijesti u nginxu 1.22.0
U ovoj novoj verziji nginxa 1.22.0 koja je predstavljena, Poboljšana zaštita od napada klase krijumčarenja HTTP zahtjeva u front-end-backend sustavima koji vam omogućuju pristup sadržaju zahtjeva drugih korisnika koji se obrađuju u istoj niti između prednjeg i stražnjeg dijela. Nginx sada uvijek vraća pogrešku kada se koristi metoda CONNECT; istodobnim određivanjem zaglavlja "Content-Length" i "Transfer-Encoding"; kada postoje razmaci ili kontrolni znakovi u nizu upita, nazivu HTTP zaglavlja ili vrijednosti zaglavlja "Host".
Još jedan novitet koji se ističe u ovoj novoj verziji je taj dodana podrška za varijable direktivama "proxy_ssl_certificate", "proxy_ssl_certificate_key", "grpc_ssl_certificate", "grpc_ssl_certificate_key", "uwsgi_ssl_certificate" i "uwsgi_ssl_certificate_key".
Osim toga, također se napominje da je dodan podrška za "pipelining" način rada za slanje više POP3 ili IMAP zahtjeva na istoj vezi na mail proxy modul, kao i novu direktivu "max_errors" koja specificira maksimalni broj grešaka u protokolu nakon kojih će se veza zatvoriti.
Zaglavlja "Auth-SSL-Protocol" i "Auth-SSL-Cipher" se prosljeđuju poslužitelju za provjeru autentičnosti proxy e-pošte, plus podrška za ALPN TLS ekstenziju dodana je u prijenosni modul. Za utvrđivanje popisa podržanih ALPN protokola (h2, http/1.1) predlaže se ssl_alpn direktiva, a za dobivanje informacija o ALPN protokolu dogovorenom s klijentom, varijabla $ssl_alpn_protocol.
Od ostalih promjena koji se ističu:
- Blokiranje HTTP/1.0 zahtjeva koji uključuju HTTP zaglavlje "Transfer-Encoding" (uvedeno u verziji protokola HTTP/1.1).
- FreeBSD platforma ima poboljšanu podršku za poziv sustava sendfile, koji je dizajniran za orkestriranje izravnog prijenosa podataka između deskriptora datoteke i utičnice. Način rada sendfile(SF_NODISKIO) je trajno omogućen i dodana je podrška za način rada sendfile(SF_NOCACHE).
- Modulu za prijenos dodan je parametar "fastopen", koji omogućuje "TCP Fast Open" način rada za slušalice.
- Ispravljeno izbjegavanje znakova """, "<", ">", "\", "^", "`", "{", "|" i "}" kada koristite proxy s promjenom URI-ja.
- Modulu streama dodana je direktiva proxy_half_close s kojom se može konfigurirati ponašanje kada je proxy TCP veza zatvorena s jedne strane ("TCP polu-zatvaranje").
- Dodana je nova direktiva mp4_start_key_frame u modul ngx_http_mp4_module za streamanje videa iz ključnog okvira.
- Dodana je varijabla $ssl_curve za vraćanje vrste eliptičke krivulje odabrane za pregovaranje ključa u TLS sesiji.
- Direktiva sendfile_max_chunk promijenila je zadanu vrijednost na 2 megabajta;
- Podrška koju pruža biblioteka OpenSSL 3.0. Dodana podrška za pozivanje SSL_sendfile() kada se koristi OpenSSL 3.0.
- Sklapanje s PCRE2 bibliotekom je omogućeno prema zadanim postavkama i pruža funkcije za obradu regularnih izraza.
- Prilikom učitavanja certifikata poslužitelja, prilagođena je upotreba sigurnosnih razina koje su podržane od OpenSSL 1.1.0 i postavljene putem parametra "@SECLEVEL=N" u ssl_ciphers direktivi.
- Uklonjena podrška paketa šifri za izvoz.
- U API-ju za filtriranje tijela zahtjeva dopušteno je skladištenje obrađenih podataka u međuspremnik.
- Uklonjena je podrška za uspostavljanje HTTP/2 veza pomoću proširenja NPN (Next Protocol Negotiation) umjesto ALPN-a.
Konačno ako vas zanima više o tome, možete provjeriti detalje U sljedećem linku.