Релиз nginx 1.20.0


После года разработки представлена новая стабильная ветка высокопроизводительного HTTP-сервера и многопротокольного прокси-сервера nginx 1.20.0, которая вобрала в себя изменения, накопленные в основной ветке 1.19.x. В дальнейшем все изменения в стабильной ветке 1.20 будут связаны с устранением серьёзных ошибок и уязвимостей. В скором времени будет сформирована основная ветка nginx 1.21, в которой будет продолжено развитие новых возможностей. Для обычных пользователей, у которых нет задачи обеспечить совместимость со сторонними модулями, рекомендуется использовать основную ветку, на базе которой раз в три месяца формируются выпуски коммерческого продукта Nginx Plus.

В соответствии с мартовским отчетом компании Netcraft nginx используется на 20.15% всех активных сайтов (год назад 19.56%, два года назад 20.73%), что соответствует второму месту по популярности в данной категории (доля Apache соответствует 25.38% (год назад 27.64%), Google - 10.09%, Cloudflare - 8.51%. При этом при рассмотрении всех сайтов nginx сохраняет лидерство и занимает 35.34% рынка (год назад 36.91%, два года назад - 27.52%), в то время как доля Apache соответствует 25.98%, OpenResty (платформа на базе nginx и LuaJIT.) - 6.55%, Microsoft IIS - 5.96%.

Среди миллиона самых посещаемых сайтов в мире доля nginx составляет 25.55% (год назад 25.54%, два года назад 26.22%). В настоящее время под управлением nginx работает около 419 млн сайтов (год назад 459 млн). По данным W3Techs nginx используется на 33.7% сайтов из миллиона самых посещаемых, в апреле прошлого года этот показатель составлял 31.9%, позапрошлого - 41.8% (спад объясняется переходом к отдельному учёту http-сервера Cloudflare). Доля Apache за год снизилась с 39.5% до 34%, а доля Microsoft IIS с 8.3% до 7%. Доля LiteSpeed выросла с 6.3% до 8.4%, а Node.js с 0.8% до 1.2%. В России nginx используется на 79.1% самых посещаемых сайтов (год назад - 78.9%).

Наиболее заметные улучшения, добавленные в процессе формирования основной ветки 1.19.x:

  • Добавлена возможность поверки клиентских сертификатов с привлечением внешних служб на базе протокола OCSP (Online Certificate Status Protocol). Для включения проверки предложена директива ssl\_ocsp, для настройки размера кэша - ssl\_ocsp\_cache, для переопределения URL OCSP-обработчика, указанного в сертификате - ssl\_ocsp\_responder.
  • В состав включён модуль ngx\_stream\_set\_module, позволяющий присвоить значение переменной

    server {
    listen 12345;
    set $true 1;
    }

  • Добавлена директива proxy\_cookie\_flags для указания флагов для Cookie в проксируемых соединениях. Например, для добавления к Cookie "one" флага "httponly", а для всех остальных Cookie флагов "nosecure" и "samesite=strict" можно использовать конструкцию:

    proxy\_cookie\_flags one httponly;
    proxy\_cookie\_flags ~ nosecure samesite=strict;

    Похожая директива userid\_flags для добавления флагов к Cookie также реализована для модуля ngx\_http\_userid.

  • Добавлены директивы "ssl\_conf\_command", "proxy\_ssl\_conf\_command", "grpc\_ssl\_conf\_command" и "uwsgi\_ssl\_conf\_command", при помощи которых можно задать произвольные параметры для настройки OpenSSL. Например, для приоритизации шифров ChaCha и расширенной настройки шифров TLSv1.3 можно указать

    ssl\_conf\_command Options PrioritizeChaCha;
    ssl\_conf\_command Ciphersuites TLS\_CHACHA20\_POLY1305\_SHA256;

  • Добавлена директива "ssl\_reject\_handshake", которая предписывает отвергать все попытки согласования SSL-соединений (например, можно использовать для отклонения всех обращений с неизвестными именами хостов в поле SNI).

    server {
    listen 443 ssl;
    ssl\_reject\_handshake on;
    }

    server {
        listen 443 ssl;
        server\_name example.com;
        ssl\_certificate example.com.crt;
        ssl\_certificate\_key example.com.key;
    } 
  • В почтовый прокси добавлена директива proxy\_smtp\_auth, позволяющая аутентифицировать пользователя на бэкенде при помощи команды AUTH и механизма PLAIN SASL.
  • Добавлена директива "keepalive\_time", которая ограничивает общее время жизни каждого keep-alive соединения, после истечении которого соединение будет закрыто (не путать с keepalive\_timeout, определяющем время неактивности, после которого keep-alive соединение закрывается).
  • Добавлена переменная $connection\_time, через которую можно получить информацию о продолжительности соединения в секундах с миллисекундной точностью.
  • В директивы "proxy\_cache\_path", "fastcgi\_cache\_path", "scgi\_cache\_path" и "uwsgi\_cache\_path" добавлен параметр "min\_free", регулирующий размер кэша на основе определения минимального размера свободного дискового пространства.
  • Директивы "lingering\_close", "lingering\_time" и "lingering\_timeout" адаптированы для работы с HTTP/2.
  • Код обработки соединений в HTTP/2 приближен к реализации HTTP/1.x. Поддержка отдельных настроек "http2\_recv\_timeout", "http2\_idle\_timeout" и "http2\_max\_requests" прекращена в пользу общих директив "keepalive\_timeout" и "keepalive\_requests". Удалены настройки "http2\_max\_field\_size" и "http2\_max\_header\_size", вместо которых следует использовать "large\_client\_header\_buffers".
  • Добавлена новая опция командной строки "-e", позволяющая указать альтернативный файл для записи лога ошибок, который будет использоваться вместо лога, заданного в настройках. Вместо имени файла можно указать специальное значение stderr.

Источник: https://www.opennet.ru/opennews/art.shtml?num=54992


Comments 0