Po 13 miesiącach rozwoju nowa stabilna gałąź wydana Wysokowydajny serwer HTTP i wieloprotokołowy serwer proxy nginx 1.22.0, który zawiera zmiany skumulowane w głównej gałęzi 1.21.x.
W przyszłości wszystkie zmiany w stabilnej gałęzi 1.22 będą związane z debugowaniem i poważne luki w zabezpieczeniach. Wkrótce powstanie główna gałąź nginx 1.23, w której będzie kontynuowany rozwój nowych funkcji.
Dla zwykłych użytkowników, którzy nie mają za zadanie zapewnienia kompatybilności z modułami firm trzecich, zaleca się skorzystanie z głównej gałęzi, na podstawie której co trzy miesiące tworzone są wersje komercyjnego produktu Nginx Plus.
Główne nowości w nginx 1.22.0
W tej nowej wersji nginx 1.22.0, która jest prezentowana, Wzmocniona ochrona przed atakami klasy HTTP Request Smuggling w systemach front-end-backend, które umożliwiają dostęp do treści żądań innych użytkowników przetwarzanych w tym samym wątku między front-endem a back-endem. Nginx teraz zawsze zwraca błąd podczas korzystania z metody CONNECT; określając jednocześnie nagłówki „Content-Length” i „Transfer-Encoding”; gdy w ciągu zapytania, nazwie nagłówka HTTP lub wartości nagłówka „Host” występują spacje lub znaki kontrolne.
Kolejną nowością, która wyróżnia się w tej nowej wersji, jest to, że dodano obsługę zmiennych do dyrektyw „proxy_ssl_certificate”, „proxy_ssl_certificate_key”, „grpc_ssl_certificate”, „grpc_ssl_certificate_key”, „uwsgi_ssl_certificate” i „uwsgi_ssl_certificate_key”.
Ponadto należy również zauważyć, że został dodany obsługa trybu „potokowania” do wysyłania wielu żądań POP3 lub IMAP na tym samym połączeniu do modułu proxy poczty, a także nową dyrektywę "max_errors", która określa maksymalną liczbę błędów protokołu, po których połączenie zostanie zamknięte.
Nagłówki "Auth-SSL-Protocol" i "Auth-SSL-Cipher" są przekazywane do serwera uwierzytelniającego pocztę proxy, plus do modułu transmisji dodano obsługę rozszerzenia ALPN TLS. Do określenia listy obsługiwanych protokołów ALPN (h2, http/1.1) proponowana jest dyrektywa ssl_alpn, a do uzyskania informacji o protokole ALPN uzgodnionym z klientem, zmienna $ssl_alpn_protocol.
Z innych zmian które wyróżniają się:
- Blokowanie żądań HTTP/1.0 zawierających nagłówek HTTP „Transfer-Encoding” (wprowadzony w wersji protokołu HTTP/1.1).
- Platforma FreeBSD poprawiła obsługę wywołania systemowego sendfile, które ma na celu zorganizowanie bezpośredniego przesyłania danych między deskryptorem pliku a gniazdem. Tryb sendfile(SF_NODISKIO) jest na stałe włączony i dodano obsługę trybu sendfile(SF_NOCACHE).
- Do modułu nadawczego został dodany parametr „fastopen”, który włącza tryb „TCP Fast Open” dla gniazd nasłuchowych.
- Naprawiono wymykanie się znaków """, "<", ">", "\", "^", "`", "{", "|" i „}” w przypadku korzystania z serwera proxy ze zmianą identyfikatora URI.
- Dyrektywa proxy_half_close została dodana do modułu stream, za pomocą której można skonfigurować zachowanie, gdy połączenie TCP proxy jest zamykane z jednej strony ("półzamknięcie TCP").
- Dodano nową dyrektywę mp4_start_key_frame do modułu ngx_http_mp4_module, aby przesyłać strumieniowo wideo z klatki kluczowej.
- Dodano zmienną $ssl_curve, która zwraca typ krzywej eliptycznej wybrany do negocjacji klucza w sesji TLS.
- Dyrektywa sendfile_max_chunk zmieniła domyślną wartość na 2 megabajty;
- Wsparcie dostarczane przez bibliotekę OpenSSL 3.0. Dodano obsługę wywoływania SSL_sendfile() podczas korzystania z OpenSSL 3.0.
- Zespół z biblioteką PCRE2 jest domyślnie włączony i udostępnia funkcje przetwarzania wyrażeń regularnych.
- Podczas wczytywania certyfikatów serwera, wykorzystanie poziomów bezpieczeństwa obsługiwanych od OpenSSL 1.1.0 i ustawianych za pomocą parametru „@SECLEVEL=N” w dyrektywie ssl_ciphers zostało dostosowane.
- Usunięto obsługę pakietu szyfrowania eksportu.
- W interfejsie API do filtrowania treści żądania dozwolone jest buforowanie przetwarzanych danych.
- Usunięto obsługę nawiązywania połączeń HTTP/2 przy użyciu rozszerzenia NPN (Next Protocol Negotiation) zamiast ALPN.
W końcu jeśli chcesz dowiedzieć się więcej na ten tematmożesz sprawdzić szczegóły W poniższym linku.