Логотип

Выпущен веб-сервер Caddy 2.11.1 с автоматической сменой ключей ECH

Выпущен веб-сервер Caddy 2.11.1 с автоматической сменой ключей ECH

Caddy, широко используемый веб-сервер с открытым исходным кодом и обратный прокси-сервер, только что выпустил версию 2.11.1 — первый официальный релиз серии 2.11. По словам разработчиков, из-за проблем с автоматизацией выпуска не удалось выпустить отдельную версию 2.11, поэтому 2.11.1 — первая общедоступная стабильная версия с теми же функциями. Вот самые важные из них.

В этом обновлении устранено несколько уязвимостей в основных модулях. Среди исправлений — проблема с обработкой транспортного пути FastCGI, затрагивающая SCRIPT_NAME и PATH_INFO, несколько условий обхода сопоставления в HTTP-маршрутизации, а также сбой аутентификации клиента TLS при отсутствии или некорректном формате файлов сертификатов.

Кроме того, теперь корректно блокируются междоменные административные API-запросы в режиме no-cors. В обновлении также реализованы различные улучшения и доработки, повышающие удобство использования.

Одна из главных новых функций заключается в том, что ключи Encrypted ClientHello теперь меняются автоматически, что снижает операционные издержки при развертывании ECH. Улучшена функция ведения журнала: теперь в ней можно выбирать время записи и сохранять тела запросов и ответов для отладки.

Кроме того, сервер теперь поддерживает перезагрузку конфигурации на основе сигналов с помощью SIGUSR1, когда конфигурация загружается из файла, а не изменяется через API администратора. Улучшена работа обратного прокси-сервера: теперь он автоматически перезаписывает заголовок Host на адрес вышестоящего сервера, если бэкенд использует HTTPS.

Читать  Выпущена IDE Qt Creator 17 с открытым исходным кодом и существенными изменениями для проектов

В этой версии также внесено множество других изменений, в том числе обновлены зависимости QUIC, улучшена поддержка заполнителей, добавлены новые параметры доверенных прокси для сокетов Unix, улучшена обработка соединений HTTP/3, расширены возможности трассировки, исправлены различные ошибки и обновлена документация.

И последнее, но не менее важное: в рамках проекта были внедрены правила раскрытия информации о содействии в работе с искусственным интеллектом и большими языковыми моделями.

 

Подробнее см. журнал изменений.

 

Выводы

Релиз Caddy 2.11.1 — это прежде всего обновление, ориентированное на безопасность, приватность и стабильность работы сервера. Одним из ключевых нововведений стала автоматическая ротация ключей ECH (Encrypted ClientHello), что усиливает защиту TLS-соединений и усложняет анализ трафика третьими сторонами.

Технология ECH скрывает реальное доменное имя внутри TLS-рукопожатия, предотвращая слежку по SNI, а автоматическая смена ключей делает эту защиту более устойчивой во времени.
Помимо этого, версия 2.11.1 исправляет критическую уязвимость, связанную с аутентификацией клиентских сертификатов mTLS, при которой сервер мог принимать любые доверенные системой сертификаты при ошибке конфигурации.

Также обновление включает улучшения удобства эксплуатации:

  • возможность перезагрузки конфигурации через сигнал SIGUSR1 при запуске из файла
  • логирование с временной ротацией файлов
  • различные исправления ошибок и улучшения качества работы

 

В целом Caddy продолжает развиваться как современный веб-сервер с упором на автоматизацию HTTPS, приватность пользователей и минимизацию ручной настройки. Обновление до 2.11.1 особенно рекомендуется администраторам, использующим mTLS или заинтересованным в максимальной защите TLS-соединений.

Читать  Приложение PhotoPrism с искусственным интеллектом добавляет диалог пакетного редактирования

 

FAQ

Что такое Caddy?

Caddy — это открытый веб-сервер и reverse-proxy на Go с автоматическим HTTPS по умолчанию и простой конфигурацией, ориентированный на безопасность и удобство.

Что такое ECH и зачем он нужен?

Encrypted ClientHello шифрует часть TLS-рукопожатия, которая раньше передавалась открыто (включая доменное имя), повышая конфиденциальность соединения.

Зачем нужна автоматическая ротация ключей ECH?

Регулярная смена ключей снижает риск их компрометации и повышает уровень анонимности пользователей, так как делает долгосрочное отслеживание соединений значительно сложнее.

Нужно ли срочно обновляться до версии 2.11.1?

Да, если используется mTLS-аутентификация клиентов — обновление закрывает уязвимость, которая могла незаметно ослабить безопасность.

Изменится ли конфигурация сервера после обновления?

В большинстве случаев — нет. Caddy традиционно сохраняет обратную совместимость, а многие новые функции (включая ECH) работают автоматически при наличии нужной инфраструктуры DNS и TLS.

Просмотров поста: 5

Редактор: AndreyEx

Рейтинг: 5 (1 голос)

Важно: Данная статья носит информационный характер. Автор не несёт ответственности за возможные сбои или ошибки, возникшие при использовании описанного программного обеспечения.

Если статья понравилась, то поделитесь ей в социальных сетях:
, ,
Caddy, Программное обеспечение, Сервер
Кол-во комментариев: 0
Подшипники в современной технике: надежность, диагностика и выбор для долгой службы
Подбор персонала в IT и цифровых проектах: стратегии, риски и практические решения
0 0 голоса
Рейтинг статьи
Подписаться
Уведомить о
guest

0 комментариев
Старые
Новые Популярные
Межтекстовые Отзывы
Посмотреть все комментарии

Это может быть вам интересно

React переходит в Linux Foundation с запуском React Foundation
React переходит в Linux Foundation с запуском React Foundation
Zed: невероятно быстрый редактор теперь доступен для Linux
Zed: невероятно быстрый редактор теперь доступен для Linux
Выпущена версия OpenZFS 2.4.1 с поддержкой Linux 6.19 и исправлениями для FreeBSD
Выпущена версия OpenZFS 2.4.1 с поддержкой Linux 6.19 и исправлениями для FreeBSD
Lutris 0.5.21: добавлена среда выполнения Steam Sniper и новые консольные эмуляторы
Lutris 0.5.21: добавлена среда выполнения Steam Sniper и новые консольные эмуляторы
Загрузка...

Спасибо!

Теперь редакторы в курсе.

Закрыть
Прокрутить страницу до начала