forum.opennet.ru - "Выпуск nginx 1.19.4" (36)

"Выпуск nginx 1.19.4"

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Выпуск nginx 1.19.4"	+/–
Сообщение от opennews (??), 27-Окт-20, 23:40
Сформирован выпуск основной ветки nginx 1.19.4, в рамках которой продолжается развитие новых возможностей (в параллельно поддерживаемой стабильной ветке 1.18 вносятся только изменения, связанные с устранением серьёзных ошибок и уязвимостей)... Подробнее: https://www.opennet.dev/opennews/art.shtml?num=53976
Ответить \| Правка \| Cообщить модератору

Оглавление

а чё это они с такой частотой релизов - и до сих пор на свободе , Аноним (5), 01:31 , 28-Окт-20, (5) –6

https www opennet ru openforum vsluhforumID3 122243 html 9, flkghdfgklh (?), 06:36 , 28-Окт-20, (10)

Доколе У nginx есть хоть LTS Что за темп нововведений , Аноним (6), 01:42 , 28-Окт-20, (6) –8

У nginx есть stable и mainline Stable это 1 x y, где x 8212 четное число Нов, flkghdfgklh (?), 06:33 , 28-Окт-20, (9) +5
конечно есть - nginx называетсо Всего лишь полторы тыщи долларов в год за одно, пох. (?), 13:42 , 28-Окт-20, (24) –3
Нахрена нужен лтс, когда можно новые фичи сразу иметь в проде Просто чтобы имет, Аноним (35), 00:13 , 02-Ноя-20, (35) –1

Service Discovery так и не завезли , Аноним (7), 02:09 , 28-Окт-20, (7)
Почему по умолчанию отключён ssl_reject_handshake on , Аноним (8), 02:25 , 28-Окт-20, (8)

Включать по дефолту фичу которая только появилась А ты 8212 оригинал, блин, flkghdfgklh (?), 07:21 , 28-Окт-20, (11) +5

Два года ждал Правда в первую неделю ожидания научился это делать глобально в, Ilya Indigo (ok), 07:25 , 28-Окт-20, (12) –1

Additionally, the ssl_reject_handshake directive makes configuring certificates , flkghdfgklh (?), 07:34 , 28-Окт-20, (13) +2

Мне всё равно не понятно зачем web-серверу проксировать postfix с dovecot , Ilya Indigo (ok), 07:56 , 28-Окт-20, (17) –1

Ну потому что изначально Игорь его создавал не только как веб-сервер Игорь его , flkghdfgklh (?), 08:10 , 28-Окт-20, (19)

Я правильно понимаю что после установки 1 19 4 надо добавить в соотестветствующи, suffix (ok), 10:22 , 28-Окт-20, (20)

Cipher Strength будет в 100, Key Exchange в 90Но, да, это совсем дофига попугаев, flkghdfgklh (?), 11:00 , 28-Окт-20, (21)

Чтобы и Key Exchange 100 стало надо чачу отключить , suffix (ok), 11:08 , 28-Окт-20, (22)

Не исключаю -DНо, вообще, для LE вроде рекомендуют Use 4096-bit RSA or secp256 , flkghdfgklh (?), 11:18 , 28-Окт-20, (23) +1

Что-то не заработало у меня В TLS 1 3 остались по-мимо нужного TLS_AES_256_GCM, suffix (ok), 15:38 , 28-Окт-20, (28)

Вот что у меня на тестовом на котором выходит 100-100-90-100 по ssl у в конфиге , flkghdfgklh (?), 18:04 , 28-Окт-20, (29)

Я сам дурак - у меня вся статика с поддомена а там я конфиг не поменял Сейчас в, suffix (ok), 18:25 , 28-Окт-20, (30)

Ну круто, теперь у нас с тобой попугаев столько, что можно открывать попугайскую, flkghdfgklh (?), 18:29 , 28-Окт-20, (31) +1

Я правильно понял Теперь вместо этого code server listen 443 default_server ht, Ilya Indigo (ok), 07:37 , 28-Окт-20, (14)

Что-то похожее на это, посмотри все же по ссылке Но я бы пока не стал включать , flkghdfgklh (?), 07:46 , 28-Окт-20, (15) +2

Благодарю, именно так If no certificates are configured in the default server fo, Ilya Indigo (ok), 07:52 , 28-Окт-20, (16) +2

Да не за чтоВообще меня директива заинтересовала, но я подожду 1 19 5 хотя бы и , flkghdfgklh (?), 07:57 , 28-Окт-20, (18) +1

Ох уже мне эти выжидальщики Прогнал тесты и запустил в прод, полёт нормальный , Аноним (35), 01:00 , 29-Окт-20, (33)

Ну извини, если у тебя прод это твой сайт, то можно и пускать, а у меня прод это, flkghdfgklh (?), 01:48 , 29-Окт-20, (34)

У меня прод это мой бизнес за счёт которого я живу и кормлю семью И конечно же , Аноним (35), 00:22 , 02-Ноя-20, (36)

Отказ от новых фич и внедрение в прод фичи которая только что вышла в mainline-в, flkghdfgklh (?), 16:16 , 02-Ноя-20, (38)

Вы были правы Проверил сегодня эту опцию По IP отрабатывает как и ожидалось, но, Ilya Indigo (ok), 08:07 , 07-Ноя-20, (39)

Ну я просто знаю что такие серьезные вещи всегда имеют какие-то подводные камни , flkghdfgklh (?), 22:32 , 07-Ноя-20, (40)

Зачастили как-то релизы nginx-а , Какаянахренразница (ok), 13:59 , 28-Окт-20, (25) +6

Как будто что-то плохое , anoname (?), 15:34 , 28-Окт-20, (27) +5

Apache наше все, долой клонов индейца , Аноним (6), 14:35 , 28-Окт-20, (26) –4
ssl_reject_handshake это бомба, надо же было им столько времени потратить чтобы , Аноним (35), 01:00 , 29-Окт-20, (32) +2

Будьте аккуратнее, эта опция ломает TLS1 3 https trac nginx org nginx ticket 2, Аноним (35), 00:42 , 02-Ноя-20, (37) +1

Сообщения [Сортировка по времени | RSS]

5. "Выпуск nginx 1.19.4" –6 +/–

Сообщение от Аноним (5), 28-Окт-20, 01:31

а чё это они с такой частотой релизов - и до сих пор на свободе?

Ответить | Правка | Наверх | Cообщить модератору

10. "Выпуск nginx 1.19.4" +/–

Сообщение от flkghdfgklh (?), 28-Окт-20, 06:36

https://www.opennet.dev/openforum/vsluhforumID3/122243.html#9

Ответить | Правка | Наверх | Cообщить модератору

6. "Выпуск nginx 1.19.4" –8 +/–

Сообщение от Аноним (6), 28-Окт-20, 01:42

Доколе? У nginx есть хоть LTS? Что за темп нововведений?

Ответить | Правка | Наверх | Cообщить модератору

9. "Выпуск nginx 1.19.4" +5 +/–

Сообщение от flkghdfgklh (?), 28-Окт-20, 06:33

У nginx есть stable и mainline.
Stable это 1.x.y, где x — четное число. Новый stable с добавлением фич выпускается один раз в год в апреле, между выпусками выходят только багфиксы. Mainline 1.n.m, где n — нечетное число, в этой ветке ведется разработка и добавление новых фич, из нее создается в апреле новый stable.
Но крупные игроки, типа CF и Yandex рекомендуют использовать mainline, как не странно.

Ответить | Правка | Наверх | Cообщить модератору

24. "Выпуск nginx 1.19.4" –3 +/–

Сообщение от пох. (?), 28-Окт-20, 13:42

> Доколе? У nginx есть хоть LTS?
конечно есть - nginx+ называетсо. Всего лишь полторы тыщи долларов в год за одноядерную конфигурацию - вот тебе LTS! И mod-status работает, а не бесполезный огрызок, поди плохо за эти мелкие деньги?

> Что за темп нововведений?
Дежурный, строго по графику. Появилась строчка для комит-лога - выпускаем новую версию. Иначе инвесторы не поймут-с.

Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

35. "Выпуск nginx 1.19.4" –1 +/–

Сообщение от Аноним (35), 02-Ноя-20, 00:13

Нахрена нужен лтс, когда можно новые фичи сразу иметь в проде? Просто чтобы иметь их позже? Или вы в тестирование и мониторинг не умеете из-за чего ссыте их катить и думаете если вы на годит их себя лишите у вас ничего никогда не сломается?

Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

7. "Выпуск nginx 1.19.4" +/–

Сообщение от Аноним (7), 28-Окт-20, 02:09

Service Discovery так и не завезли?

Ответить | Правка | Наверх | Cообщить модератору

8. "Выпуск nginx 1.19.4" +/–

Сообщение от Аноним (8), 28-Окт-20, 02:25

Почему по умолчанию отключён ssl_reject_handshake on?

Ответить | Правка | Наверх | Cообщить модератору

11. "Выпуск nginx 1.19.4" +5 +/–

Сообщение от flkghdfgklh (?), 28-Окт-20, 07:21

Включать по дефолту фичу которая только появилась? А ты — оригинал, блин

Ответить | Правка | Наверх | Cообщить модератору

12. "Выпуск nginx 1.19.4" –1 +/–

Сообщение от Ilya Indigo (ok), 28-Окт-20, 07:25

> ssl_conf_command Ciphersuites TLS_CHACHA20_POLY1305_SHA256;
Два года ждал... Правда в первую неделю ожидания научился это делать глобально в /etc/ssl/openssl.cnf, как они же и предлагали в issue, и уже не особо и нужно.
> ssl_reject_handshake on;
> ... отвергать все попытки согласования SSL-соединений ...
Это как? Специально отвергать все рукопожатия чтобы никто не смог вообще зайти по https? Если да то зачем, если нет обяъсните, пожалуйста, эту опцию подробнее.
> В почтовый прокси...
Объясните, пожалуйста, это nginx может как sqiud или 3proxy выступать smtp-прокси-сервером? Для чего именно это нужно?

Ответить | Правка | Наверх | Cообщить модератору

13. "Выпуск nginx 1.19.4" +2 +/–

Сообщение от flkghdfgklh (?), 28-Окт-20, 07:34

> Это как? Специально отвергать все рукопожатия чтобы никто не смог вообще зайти по https?
Additionally, the ssl_reject_handshake directive makes configuring certificates for the default server block optional.  If no certificates are configured in the default server for a given listening socket, certificates must be defined in all non-default server blocks with the listening socket in question.
Это вот так. По ссылке есть все, пройди туда.
> Объясните, пожалуйста, это nginx может как sqiud или 3proxy выступать smtp-прокси-сервером?
Всегда мог, ну то есть в 0.7.x уже точно мог, может и раньше.
И smtp, и imap4, и pop3
https://nginx.org/en/docs/mail/ngx_mail_core_module.html
тебе в помощь

Ответить | Правка | Наверх | Cообщить модератору

17. "Выпуск nginx 1.19.4" –1 +/–

Сообщение от Ilya Indigo (ok), 28-Окт-20, 07:56

>> Объясните, пожалуйста, это nginx может как sqiud или 3proxy выступать smtp-прокси-сервером?
> Всегда мог, ну то есть в 0.7.x уже точно мог, может и
> раньше.
> И smtp, и imap4, и pop3
> https://nginx.org/en/docs/mail/ngx_mail_core_module.html
> тебе в помощь
Мне всё равно не понятно зачем web-серверу проксировать postfix с dovecot.

Ответить | Правка | Наверх | Cообщить модератору

19. "Выпуск nginx 1.19.4" +/–

Сообщение от flkghdfgklh (?), 28-Окт-20, 08:10

Ну потому что изначально Игорь его создавал не только как веб-сервер. Игорь его писал будучи админом и писал для себя. Ну а теперь выбрасывать из него функциональность mail proxy глупо, люди же могут использовать

Ответить | Правка | Наверх | Cообщить модератору

20. "Выпуск nginx 1.19.4" +/–

Сообщение от suffix (ok), 28-Окт-20, 10:22

Я правильно понимаю что после установки 1.19.4 надо добавить в соотестветствующий listen:
ssl_conf_command Ciphersuites TLS_CHACHA20_POLY1305_SHA256:TLS_AES_256_GCM_SHA384;
ssl_conf_command CipherString ECDHE-RSA-AES256-GCM-SHA384;
над
ssl_protocols TLSv1.2 TLSv1.3;
ssl_ciphers 'TLS_CHACHA20_POLY1305_SHA256:TLS_AES_256_GCM_SHA384:ECDHE-RSA-AES256-GCM-SHA384';
и Key Exchange и Cipher Strength в ssllabs достигнут 100 ?

Ответить | Правка | Наверх | Cообщить модератору

21. "Выпуск nginx 1.19.4" +/–

Сообщение от flkghdfgklh (?), 28-Окт-20, 11:00

Cipher Strength будет в 100, Key Exchange в 90
Но, да, это совсем дофига попугаев :)

Ответить | Правка | Наверх | Cообщить модератору

22. "Выпуск nginx 1.19.4" +/–

Сообщение от suffix (ok), 28-Окт-20, 11:08

Чтобы и Key Exchange 100 стало надо чачу отключить ?

Ответить | Правка | Наверх | Cообщить модератору

23. "Выпуск nginx 1.19.4" +1 +/–

Сообщение от flkghdfgklh (?), 28-Окт-20, 11:18

Не исключаю :-D
Но, вообще, для LE вроде рекомендуют Use 4096-bit RSA or secp256 and higher ECC Certificate (This is a must if you want 100% on Key Exchange). Но я для теста попробовал, с 4096, все равно 90.

Ответить | Правка | Наверх | Cообщить модератору

28. "Выпуск nginx 1.19.4" +/–

Сообщение от suffix (ok), 28-Окт-20, 15:38

Что-то не заработало у меня :(
В TLS 1.3 остались по-мимо нужного TLS_AES_256_GCM_SHA384 и ненужные мне TLS_AES_128_GCM_SHA256 и TLS_CHACHA20_POLY1305_SHA25
при
ssl_protocols TLSv1.2 TLSv1.3;
ssl_conf_command Ciphersuites TLS_AES_256_GCM_SHA384;
ssl_conf_command CipherString ECDHE-RSA-AES256-GCM-SHA384;
ssl_ciphers 'TLS_AES_256_GCM_SHA384:ECDHE-RSA-AES256-GCM-SHA384';

Ответить | Правка | Наверх | Cообщить модератору

29. "Выпуск nginx 1.19.4" +/–

Сообщение от flkghdfgklh (?), 28-Окт-20, 18:04

Вот что у меня на тестовом на котором выходит 100-100-90-100 по ssl'у в конфиге nginx'а(даю все связанное, что бы ты мог посмотреть на свое и сравнить)
ssl_session_timeout 1d;
ssl_session_cache shared:SSL:10m;
ssl_session_tickets off;
ssl_early_data on;
ssl_protocols TLSv1.2 TLSv1.3;
ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384;
ssl_conf_command Ciphersuites TLS_CHACHA20_POLY1305_SHA256:TLS_AES_256_GCM_SHA384;
ssl_conf_command CipherString ECDHE-RSA-AES256-GCM-SHA384;
ssl_stapling on;
ssl_stapling_verify on;
resolver 127.0.1.1 valid=60s;
А в /etc/letsencrypt/cli.ini у меня
rsa-key-size = 4096
было дописано перед тем как перевыпустить сегодня досрочно сертификаты.
P.S. Думаю про резолвер пояснять не нужно, если уж ты пытаешься разобраться :)

Ответить | Правка | Наверх | Cообщить модератору

30. "Выпуск nginx 1.19.4" +/–

Сообщение от suffix (ok), 28-Окт-20, 18:25

Я сам дурак - у меня вся статика с поддомена а там я конфиг не поменял !
Сейчас всё в порядке
https://www.ssllabs.com/ssltest/analyze.html?d=www.babai.ru&...

Ответить | Правка | Наверх | Cообщить модератору

31. "Выпуск nginx 1.19.4" +1 +/–

Сообщение от flkghdfgklh (?), 28-Окт-20, 18:29

Ну круто, теперь у нас с тобой попугаев столько, что можно открывать попугайскую птицефабрику :)

Ответить | Правка | Наверх | Cообщить модератору

14. "Выпуск nginx 1.19.4" +/–

Сообщение от Ilya Indigo (ok), 28-Окт-20, 07:37

> ssl_reject_handshake on;
> ... отвергать все попытки согласования SSL-соединений ...
Я правильно понял? Теперь вместо этого
server
{
    listen 443 default_server http2 ssl;
    ssl_certificate /etc/nginx/certs/example.com.crt;
    ssl_certificate_key /etc/nginx/certs/example.com.key;
    return 444;
}

можно просто написать вот это
server
{
    listen 443 http2 ssl;
    ssl_reject_handshake on;
}

И он будет слать лесом тех, кто обращается к серверу по IP или не определённому в конфиге имени сервера?
При этом не нужно теперь указывать сертификаты, return 444 и директиву default_server? Я правильно понял?

Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

15. "Выпуск nginx 1.19.4" +2 +/–

Сообщение от flkghdfgklh (?), 28-Окт-20, 07:46

Что-то похожее на это, посмотри все же по ссылке. Но я бы пока не стал включать это дело, подождал бы до 1.19.5 хотя бы, обычно такие новые фичи приходится править в следующих релизах

Ответить | Правка | Наверх | Cообщить модератору

16. "Выпуск nginx 1.19.4" +2 +/–

Сообщение от Ilya Indigo (ok), 28-Окт-20, 07:52

Благодарю, именно так!
If no certificates are configured in the default server for a given listening socket, certificates must be defined in all non-default server blocks with the listening socket in question.

Ответить | Правка | Наверх | Cообщить модератору

18. "Выпуск nginx 1.19.4" +1 +/–

Сообщение от flkghdfgklh (?), 28-Окт-20, 07:57

Да не за что
Вообще меня директива заинтересовала, но я подожду 1.19.5 хотя бы и почитаю что будут писать в рассылке про возможные проблемы.

Ответить | Правка | Наверх | Cообщить модератору

33. "Выпуск nginx 1.19.4" +/–

Сообщение от Аноним (35), 29-Окт-20, 01:00

Ох уже мне эти выжидальщики. Прогнал тесты и запустил в прод, полёт нормальный.

Ответить | Правка | Наверх | Cообщить модератору

34. "Выпуск nginx 1.19.4" +/–

Сообщение от flkghdfgklh (?), 29-Окт-20, 01:48

Ну извини, если у тебя прод это твой сайт, то можно и пускать, а у меня прод это сайты клиентов и мне там косяки не нужны
У себя-то я само собой потестирую, но буду ждать следующего релиза и читать рассылку, что бы не самому все грабли собирать

Ответить | Правка | Наверх | Cообщить модератору

36. "Выпуск nginx 1.19.4" +/–

Сообщение от Аноним (35), 02-Ноя-20, 00:22

У меня прод это мой бизнес за счёт которого я живу и кормлю семью. И конечно же я не буду терять преимущество отказываясь от новых фич, не буду тратить время чтобы сидеть читать какие-то сраные рассылки, а потом всё равно дрожать перед обновлением, потому что гарантий что твой кейс не пропустили нет никаких.
А вы сразу скажите что у вас за контора, чтобы не дай бог вашим клиентом не стать. Во времена виртхостинга мне уже возвращали деньги и неустойку одни (всё ещё популярные, на букву v) уроды с некомпетентными работаетнетрогаями вместо админов и древней тухлятиной вместо софта, под который нужно специальным образом писать код чтобы не дай бог не заиспользовать фичу PHP, питона или nginx пятилетней давности которая там ещё не поддерживается.

Ответить | Правка | Наверх | Cообщить модератору

38. "Выпуск nginx 1.19.4" +/–

Сообщение от flkghdfgklh (?), 02-Ноя-20, 16:16

Отказ от новых фич и внедрение в прод фичи которая только что вышла в mainline-ветке это разные вещи.
Мы используем именно mainline для nginx, у нас свой репозиторий(из-за использования модулей которые не входят в официальный, например brotli), но включать новую фичу клиентам сразу после релиза я не буду, что бы не сломать им ничего. Я выжду месяц(примерно столько между релизами в mainline), почитаю рассылку, протестирую у себя на некритичных проектах, а потом уже внедрю
У тебя вышел какой-то френдли-файр, прямо скажем :)

Ответить | Правка | Наверх | Cообщить модератору

39. "Выпуск nginx 1.19.4" +/–

Сообщение от Ilya Indigo (ok), 07-Ноя-20, 08:07

> Да не за что
> Вообще меня директива заинтересовала, но я подожду 1.19.5 хотя бы и почитаю
> что будут писать в рассылке про возможные проблемы.
Вы были правы!
Проверил сегодня эту опцию. По IP отрабатывает как и ожидалось, но вот только, бонусом, нафиг отрубается TLS 1.3 на всех хостах!
https://trac.nginx.org/nginx/ticket/2071
Охренеть это ещё и по дизайну! Короче про эту опцию нужно просто забыть, и использовать return 444 как и раньше!

Ответить | Правка | К родителю #18 | Наверх | Cообщить модератору

40. "Выпуск nginx 1.19.4" +/–

Сообщение от flkghdfgklh (?), 07-Ноя-20, 22:32

Ну я просто знаю что такие серьезные вещи всегда имеют какие-то подводные камни и нужно ждать, а не внедрять сразу

Ответить | Правка | Наверх | Cообщить модератору

25. "Выпуск nginx 1.19.4" +6 +/–

Сообщение от Какаянахренразница (ok), 28-Окт-20, 13:59

Зачастили как-то релизы nginx-а...

Ответить | Правка | Наверх | Cообщить модератору

27. "Выпуск nginx 1.19.4" +5 +/–

Сообщение от anoname (?), 28-Окт-20, 15:34

Как будто что-то плохое.

Ответить | Правка | Наверх | Cообщить модератору

26. "Выпуск nginx 1.19.4" –4 +/–

Сообщение от Аноним (6), 28-Окт-20, 14:35

Apache наше все, долой клонов индейца!

Ответить | Правка | Наверх | Cообщить модератору

32. "Выпуск nginx 1.19.4" +2 +/–

Сообщение от Аноним (35), 29-Окт-20, 01:00

ssl_reject_handshake это бомба, надо же было им столько времени потратить чтобы докумекать до неё. Теперь наконец можно нормально настроить ssl'ный default_server без костылей.

Ответить | Правка | Наверх | Cообщить модератору

37. "Выпуск nginx 1.19.4" +1 +/–

Сообщение от Аноним (35), 02-Ноя-20, 00:42

Будьте аккуратнее, эта опция ломает TLS1.3:
https://trac.nginx.org/nginx/ticket/2071

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

5. "Выпуск nginx 1.19.4"	–6 +/–
Сообщение от Аноним (5), 28-Окт-20, 01:31
а чё это они с такой частотой релизов - и до сих пор на свободе?
Ответить \| Правка \| Наверх \| Cообщить модератору


	10. "Выпуск nginx 1.19.4"	+/–
	Сообщение от flkghdfgklh (?), 28-Окт-20, 06:36
	https://www.opennet.dev/openforum/vsluhforumID3/122243.html#9
	Ответить \| Правка \| Наверх \| Cообщить модератору

6. "Выпуск nginx 1.19.4"	–8 +/–
Сообщение от Аноним (6), 28-Окт-20, 01:42
Доколе? У nginx есть хоть LTS? Что за темп нововведений?
Ответить \| Правка \| Наверх \| Cообщить модератору


	9. "Выпуск nginx 1.19.4"	+5 +/–
	Сообщение от flkghdfgklh (?), 28-Окт-20, 06:33
	У nginx есть stable и mainline. Stable это 1.x.y, где x — четное число. Новый stable с добавлением фич выпускается один раз в год в апреле, между выпусками выходят только багфиксы. Mainline 1.n.m, где n — нечетное число, в этой ветке ведется разработка и добавление новых фич, из нее создается в апреле новый stable. Но крупные игроки, типа CF и Yandex рекомендуют использовать mainline, как не странно.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	24. "Выпуск nginx 1.19.4"	–3 +/–
	Сообщение от пох. (?), 28-Окт-20, 13:42
	> Доколе? У nginx есть хоть LTS? конечно есть - nginx+ называетсо. Всего лишь полторы тыщи долларов в год за одноядерную конфигурацию - вот тебе LTS! И mod-status работает, а не бесполезный огрызок, поди плохо за эти мелкие деньги? > Что за темп нововведений? Дежурный, строго по графику. Появилась строчка для комит-лога - выпускаем новую версию. Иначе инвесторы не поймут-с.
	Ответить \| Правка \| К родителю #6 \| Наверх \| Cообщить модератору


	35. "Выпуск nginx 1.19.4"	–1 +/–
	Сообщение от Аноним (35), 02-Ноя-20, 00:13
	Нахрена нужен лтс, когда можно новые фичи сразу иметь в проде? Просто чтобы иметь их позже? Или вы в тестирование и мониторинг не умеете из-за чего ссыте их катить и думаете если вы на годит их себя лишите у вас ничего никогда не сломается?
	Ответить \| Правка \| К родителю #6 \| Наверх \| Cообщить модератору

7. "Выпуск nginx 1.19.4"	+/–
Сообщение от Аноним (7), 28-Окт-20, 02:09
Service Discovery так и не завезли?
Ответить \| Правка \| Наверх \| Cообщить модератору

8. "Выпуск nginx 1.19.4"	+/–
Сообщение от Аноним (8), 28-Окт-20, 02:25
Почему по умолчанию отключён ssl_reject_handshake on?
Ответить \| Правка \| Наверх \| Cообщить модератору


	11. "Выпуск nginx 1.19.4"	+5 +/–
	Сообщение от flkghdfgklh (?), 28-Окт-20, 07:21
	Включать по дефолту фичу которая только появилась? А ты — оригинал, блин
	Ответить \| Правка \| Наверх \| Cообщить модератору

12. "Выпуск nginx 1.19.4"	–1 +/–
Сообщение от Ilya Indigo (ok), 28-Окт-20, 07:25
> ssl_conf_command Ciphersuites TLS_CHACHA20_POLY1305_SHA256; Два года ждал... Правда в первую неделю ожидания научился это делать глобально в /etc/ssl/openssl.cnf, как они же и предлагали в issue, и уже не особо и нужно. > ssl_reject_handshake on; > ... отвергать все попытки согласования SSL-соединений ... Это как? Специально отвергать все рукопожатия чтобы никто не смог вообще зайти по https? Если да то зачем, если нет обяъсните, пожалуйста, эту опцию подробнее. > В почтовый прокси... Объясните, пожалуйста, это nginx может как sqiud или 3proxy выступать smtp-прокси-сервером? Для чего именно это нужно?
Ответить \| Правка \| Наверх \| Cообщить модератору


	13. "Выпуск nginx 1.19.4"	+2 +/–
	Сообщение от flkghdfgklh (?), 28-Окт-20, 07:34
	> Это как? Специально отвергать все рукопожатия чтобы никто не смог вообще зайти по https? Additionally, the ssl_reject_handshake directive makes configuring certificates for the default server block optional. If no certificates are configured in the default server for a given listening socket, certificates must be defined in all non-default server blocks with the listening socket in question. Это вот так. По ссылке есть все, пройди туда. > Объясните, пожалуйста, это nginx может как sqiud или 3proxy выступать smtp-прокси-сервером? Всегда мог, ну то есть в 0.7.x уже точно мог, может и раньше. И smtp, и imap4, и pop3 https://nginx.org/en/docs/mail/ngx_mail_core_module.html тебе в помощь
	Ответить \| Правка \| Наверх \| Cообщить модератору


	17. "Выпуск nginx 1.19.4"	–1 +/–
	Сообщение от Ilya Indigo (ok), 28-Окт-20, 07:56
	>> Объясните, пожалуйста, это nginx может как sqiud или 3proxy выступать smtp-прокси-сервером? > Всегда мог, ну то есть в 0.7.x уже точно мог, может и > раньше. > И smtp, и imap4, и pop3 > https://nginx.org/en/docs/mail/ngx_mail_core_module.html > тебе в помощь Мне всё равно не понятно зачем web-серверу проксировать postfix с dovecot.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	19. "Выпуск nginx 1.19.4"	+/–
	Сообщение от flkghdfgklh (?), 28-Окт-20, 08:10
	Ну потому что изначально Игорь его создавал не только как веб-сервер. Игорь его писал будучи админом и писал для себя. Ну а теперь выбрасывать из него функциональность mail proxy глупо, люди же могут использовать
	Ответить \| Правка \| Наверх \| Cообщить модератору


	20. "Выпуск nginx 1.19.4"	+/–
	Сообщение от suffix (ok), 28-Окт-20, 10:22
	Я правильно понимаю что после установки 1.19.4 надо добавить в соотестветствующий listen: ssl_conf_command Ciphersuites TLS_CHACHA20_POLY1305_SHA256:TLS_AES_256_GCM_SHA384; ssl_conf_command CipherString ECDHE-RSA-AES256-GCM-SHA384; над ssl_protocols TLSv1.2 TLSv1.3; ssl_ciphers 'TLS_CHACHA20_POLY1305_SHA256:TLS_AES_256_GCM_SHA384:ECDHE-RSA-AES256-GCM-SHA384'; и Key Exchange и Cipher Strength в ssllabs достигнут 100 ?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	21. "Выпуск nginx 1.19.4"	+/–
	Сообщение от flkghdfgklh (?), 28-Окт-20, 11:00
	Cipher Strength будет в 100, Key Exchange в 90 Но, да, это совсем дофига попугаев :)
	Ответить \| Правка \| Наверх \| Cообщить модератору


	22. "Выпуск nginx 1.19.4"	+/–
	Сообщение от suffix (ok), 28-Окт-20, 11:08
	Чтобы и Key Exchange 100 стало надо чачу отключить ?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	23. "Выпуск nginx 1.19.4"	+1 +/–
	Сообщение от flkghdfgklh (?), 28-Окт-20, 11:18
	Не исключаю :-D Но, вообще, для LE вроде рекомендуют Use 4096-bit RSA or secp256 and higher ECC Certificate (This is a must if you want 100% on Key Exchange). Но я для теста попробовал, с 4096, все равно 90.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	28. "Выпуск nginx 1.19.4"	+/–
	Сообщение от suffix (ok), 28-Окт-20, 15:38
	Что-то не заработало у меня :( В TLS 1.3 остались по-мимо нужного TLS_AES_256_GCM_SHA384 и ненужные мне TLS_AES_128_GCM_SHA256 и TLS_CHACHA20_POLY1305_SHA25 при ssl_protocols TLSv1.2 TLSv1.3; ssl_conf_command Ciphersuites TLS_AES_256_GCM_SHA384; ssl_conf_command CipherString ECDHE-RSA-AES256-GCM-SHA384; ssl_ciphers 'TLS_AES_256_GCM_SHA384:ECDHE-RSA-AES256-GCM-SHA384';
	Ответить \| Правка \| Наверх \| Cообщить модератору


	29. "Выпуск nginx 1.19.4"	+/–
	Сообщение от flkghdfgklh (?), 28-Окт-20, 18:04
	Вот что у меня на тестовом на котором выходит 100-100-90-100 по ssl'у в конфиге nginx'а(даю все связанное, что бы ты мог посмотреть на свое и сравнить) ssl_session_timeout 1d; ssl_session_cache shared:SSL:10m; ssl_session_tickets off; ssl_early_data on; ssl_protocols TLSv1.2 TLSv1.3; ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384; ssl_conf_command Ciphersuites TLS_CHACHA20_POLY1305_SHA256:TLS_AES_256_GCM_SHA384; ssl_conf_command CipherString ECDHE-RSA-AES256-GCM-SHA384; ssl_stapling on; ssl_stapling_verify on; resolver 127.0.1.1 valid=60s; А в /etc/letsencrypt/cli.ini у меня rsa-key-size = 4096 было дописано перед тем как перевыпустить сегодня досрочно сертификаты. P.S. Думаю про резолвер пояснять не нужно, если уж ты пытаешься разобраться :)
	Ответить \| Правка \| Наверх \| Cообщить модератору


	30. "Выпуск nginx 1.19.4"	+/–
	Сообщение от suffix (ok), 28-Окт-20, 18:25
	Я сам дурак - у меня вся статика с поддомена а там я конфиг не поменял ! Сейчас всё в порядке https://www.ssllabs.com/ssltest/analyze.html?d=www.babai.ru&...
	Ответить \| Правка \| Наверх \| Cообщить модератору


	31. "Выпуск nginx 1.19.4"	+1 +/–
	Сообщение от flkghdfgklh (?), 28-Окт-20, 18:29
	Ну круто, теперь у нас с тобой попугаев столько, что можно открывать попугайскую птицефабрику :)
	Ответить \| Правка \| Наверх \| Cообщить модератору


	14. "Выпуск nginx 1.19.4"	+/–
	Сообщение от Ilya Indigo (ok), 28-Окт-20, 07:37
	> ssl_reject_handshake on; > ... отвергать все попытки согласования SSL-соединений ... Я правильно понял? Теперь вместо этого server { listen 443 default_server http2 ssl; ssl_certificate /etc/nginx/certs/example.com.crt; ssl_certificate_key /etc/nginx/certs/example.com.key; return 444; } можно просто написать вот это server { listen 443 http2 ssl; ssl_reject_handshake on; } И он будет слать лесом тех, кто обращается к серверу по IP или не определённому в конфиге имени сервера? При этом не нужно теперь указывать сертификаты, return 444 и директиву default_server? Я правильно понял?
	Ответить \| Правка \| К родителю #12 \| Наверх \| Cообщить модератору


	15. "Выпуск nginx 1.19.4"	+2 +/–
	Сообщение от flkghdfgklh (?), 28-Окт-20, 07:46
	Что-то похожее на это, посмотри все же по ссылке. Но я бы пока не стал включать это дело, подождал бы до 1.19.5 хотя бы, обычно такие новые фичи приходится править в следующих релизах
	Ответить \| Правка \| Наверх \| Cообщить модератору


	16. "Выпуск nginx 1.19.4"	+2 +/–
	Сообщение от Ilya Indigo (ok), 28-Окт-20, 07:52
	Благодарю, именно так! If no certificates are configured in the default server for a given listening socket, certificates must be defined in all non-default server blocks with the listening socket in question.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	18. "Выпуск nginx 1.19.4"	+1 +/–
	Сообщение от flkghdfgklh (?), 28-Окт-20, 07:57
	Да не за что Вообще меня директива заинтересовала, но я подожду 1.19.5 хотя бы и почитаю что будут писать в рассылке про возможные проблемы.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	33. "Выпуск nginx 1.19.4"	+/–
	Сообщение от Аноним (35), 29-Окт-20, 01:00
	Ох уже мне эти выжидальщики. Прогнал тесты и запустил в прод, полёт нормальный.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	34. "Выпуск nginx 1.19.4"	+/–
	Сообщение от flkghdfgklh (?), 29-Окт-20, 01:48
	Ну извини, если у тебя прод это твой сайт, то можно и пускать, а у меня прод это сайты клиентов и мне там косяки не нужны У себя-то я само собой потестирую, но буду ждать следующего релиза и читать рассылку, что бы не самому все грабли собирать
	Ответить \| Правка \| Наверх \| Cообщить модератору


	36. "Выпуск nginx 1.19.4"	+/–
	Сообщение от Аноним (35), 02-Ноя-20, 00:22
	У меня прод это мой бизнес за счёт которого я живу и кормлю семью. И конечно же я не буду терять преимущество отказываясь от новых фич, не буду тратить время чтобы сидеть читать какие-то сраные рассылки, а потом всё равно дрожать перед обновлением, потому что гарантий что твой кейс не пропустили нет никаких. А вы сразу скажите что у вас за контора, чтобы не дай бог вашим клиентом не стать. Во времена виртхостинга мне уже возвращали деньги и неустойку одни (всё ещё популярные, на букву v) уроды с некомпетентными работаетнетрогаями вместо админов и древней тухлятиной вместо софта, под который нужно специальным образом писать код чтобы не дай бог не заиспользовать фичу PHP, питона или nginx пятилетней давности которая там ещё не поддерживается.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	38. "Выпуск nginx 1.19.4"	+/–
	Сообщение от flkghdfgklh (?), 02-Ноя-20, 16:16
	Отказ от новых фич и внедрение в прод фичи которая только что вышла в mainline-ветке это разные вещи. Мы используем именно mainline для nginx, у нас свой репозиторий(из-за использования модулей которые не входят в официальный, например brotli), но включать новую фичу клиентам сразу после релиза я не буду, что бы не сломать им ничего. Я выжду месяц(примерно столько между релизами в mainline), почитаю рассылку, протестирую у себя на некритичных проектах, а потом уже внедрю У тебя вышел какой-то френдли-файр, прямо скажем :)
	Ответить \| Правка \| Наверх \| Cообщить модератору


	39. "Выпуск nginx 1.19.4"	+/–
	Сообщение от Ilya Indigo (ok), 07-Ноя-20, 08:07
	> Да не за что > Вообще меня директива заинтересовала, но я подожду 1.19.5 хотя бы и почитаю > что будут писать в рассылке про возможные проблемы. Вы были правы! Проверил сегодня эту опцию. По IP отрабатывает как и ожидалось, но вот только, бонусом, нафиг отрубается TLS 1.3 на всех хостах! https://trac.nginx.org/nginx/ticket/2071 Охренеть это ещё и по дизайну! Короче про эту опцию нужно просто забыть, и использовать return 444 как и раньше!
	Ответить \| Правка \| К родителю #18 \| Наверх \| Cообщить модератору