Caddy, широко используемый веб-сервер с открытым исходным кодом и обратный прокси-сервер, только что выпустил версию 2.11.1 — первый официальный релиз серии 2.11. По словам разработчиков, из-за проблем с автоматизацией выпуска не удалось выпустить отдельную версию 2.11, поэтому 2.11.1 — первая общедоступная стабильная версия с теми же функциями. Вот самые важные из них.
В этом обновлении устранено несколько уязвимостей в основных модулях. Среди исправлений — проблема с обработкой транспортного пути FastCGI, затрагивающая SCRIPT_NAME и PATH_INFO, несколько условий обхода сопоставления в HTTP-маршрутизации, а также сбой аутентификации клиента TLS при отсутствии или некорректном формате файлов сертификатов.
Кроме того, теперь корректно блокируются междоменные административные API-запросы в режиме no-cors. В обновлении также реализованы различные улучшения и доработки, повышающие удобство использования.
Одна из главных новых функций заключается в том, что ключи Encrypted ClientHello теперь меняются автоматически, что снижает операционные издержки при развертывании ECH. Улучшена функция ведения журнала: теперь в ней можно выбирать время записи и сохранять тела запросов и ответов для отладки.
Кроме того, сервер теперь поддерживает перезагрузку конфигурации на основе сигналов с помощью SIGUSR1, когда конфигурация загружается из файла, а не изменяется через API администратора. Улучшена работа обратного прокси-сервера: теперь он автоматически перезаписывает заголовок Host на адрес вышестоящего сервера, если бэкенд использует HTTPS.
В этой версии также внесено множество других изменений, в том числе обновлены зависимости QUIC, улучшена поддержка заполнителей, добавлены новые параметры доверенных прокси для сокетов Unix, улучшена обработка соединений HTTP/3, расширены возможности трассировки, исправлены различные ошибки и обновлена документация.
И последнее, но не менее важное: в рамках проекта были внедрены правила раскрытия информации о содействии в работе с искусственным интеллектом и большими языковыми моделями.
Подробнее см. журнал изменений.
Выводы
Релиз Caddy 2.11.1 — это прежде всего обновление, ориентированное на безопасность, приватность и стабильность работы сервера. Одним из ключевых нововведений стала автоматическая ротация ключей ECH (Encrypted ClientHello), что усиливает защиту TLS-соединений и усложняет анализ трафика третьими сторонами.
Технология ECH скрывает реальное доменное имя внутри TLS-рукопожатия, предотвращая слежку по SNI, а автоматическая смена ключей делает эту защиту более устойчивой во времени.
Помимо этого, версия 2.11.1 исправляет критическую уязвимость, связанную с аутентификацией клиентских сертификатов mTLS, при которой сервер мог принимать любые доверенные системой сертификаты при ошибке конфигурации.
Также обновление включает улучшения удобства эксплуатации:
- возможность перезагрузки конфигурации через сигнал SIGUSR1 при запуске из файла
- логирование с временной ротацией файлов
- различные исправления ошибок и улучшения качества работы
В целом Caddy продолжает развиваться как современный веб-сервер с упором на автоматизацию HTTPS, приватность пользователей и минимизацию ручной настройки. Обновление до 2.11.1 особенно рекомендуется администраторам, использующим mTLS или заинтересованным в максимальной защите TLS-соединений.
FAQ
Что такое Caddy?
Caddy — это открытый веб-сервер и reverse-proxy на Go с автоматическим HTTPS по умолчанию и простой конфигурацией, ориентированный на безопасность и удобство.
Что такое ECH и зачем он нужен?
Encrypted ClientHello шифрует часть TLS-рукопожатия, которая раньше передавалась открыто (включая доменное имя), повышая конфиденциальность соединения.
Зачем нужна автоматическая ротация ключей ECH?
Регулярная смена ключей снижает риск их компрометации и повышает уровень анонимности пользователей, так как делает долгосрочное отслеживание соединений значительно сложнее.
Нужно ли срочно обновляться до версии 2.11.1?
Да, если используется mTLS-аутентификация клиентов — обновление закрывает уязвимость, которая могла незаметно ослабить безопасность.
Изменится ли конфигурация сервера после обновления?
В большинстве случаев — нет. Caddy традиционно сохраняет обратную совместимость, а многие новые функции (включая ECH) работают автоматически при наличии нужной инфраструктуры DNS и TLS.