Выпуск nginx 1.29.4 с поддержкой ECH и взаимодействия с бэкендами по HTTP/2.0

10.12.2025 12:47

Опубликован выпуск основной ветки nginx 1.29.4, в которой продолжается развитие новых возможностей. В параллельно поддерживаемую стабильную ветку 1.28.x вносятся только изменения, связанные с устранением серьёзных ошибок и уязвимостей. В дальнейшем на базе основной ветки 1.29.x будет сформирована стабильная ветка 1.30. Код проекта написан на языке Си и распространяется под лицензией BSD.

В новом выпуске:

В модуль ngx_http_proxy добавлена поддержка протокола HTTP/2, что позволяет использовать HTTP/2 при обращении к бэкендам.
Добавлена поддержка TLS-расширения ECH (Encrypted ClientHello), продолжающего развитие расширения ESNI (Encrypted Server Name Indication) и используемого для шифрования информации о параметрах TLS-сеансов, таких как запрошенное доменное имя. Ключевое отличие ECH от ESNI в том, что в ECH вместо шифрования на уровне отдельных полей целиком шифруется всё TLS-сообщение ClientHello, что позволяет блокировать утечки через поля, которые не охватывает ESNI, например, поле PSK (Pre-Shared Key). Использование ECH включается через указание в директиве "ssl_ech_file" файла конфигурации ECHConfig в формате PEM. Поддержка доступна при использовании сборок OpenSSL с ECH.
Правила проверки хоста и порта в тексте запроса, заголовке "Host" и псевдо-заголовке ":authority" приведены к требованиям RFC 3986.
Указание одного символа перевода строки в качестве завершающей последовательности в chunked-запросах или в теле ответа теперь обрабатывается как ошибка.
Устранено аварийное завершение при использовании HTTP/3 с библиотекой OpenSSL 3.5.1+.
Устранено аварийное завершение рабочего процесса при одновременном указании директив try_files и proxy_pass с URI.

исправить +13 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/64405-nginx

Ключевые слова: nginx

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (47)

1.1, Аноним (1), 12:54, 10/12/2025 [ответить] [﹢﹢﹢] [ · · · ]	+3 +/–
> позволяет использовать HTTP/2 при обращении к бэкендам. Ура! А то костыль с 'grpc_pass' вместо 'proxy_pass' выглядел убого.

2.9, Аноним (9), 16:40, 10/12/2025 [^] [^^] [^^^] [ответить]	–2 +/–
видимо начитались параноиков (https://portswigger.net/research/http1-must-die)

1.2, Фонтимос (?), 13:15, 10/12/2025 [ответить] [﹢﹢﹢] [ · · · ]	–7 +/–
Жду новость с обновлением OCH и HДC. У меня без них совсем не работает, начальник из-за этого грозится уволить и нанять помоложе.

2.27, Аноним (-), 07:01, 11/12/2025 [^] [^^] [^^^] [ответить]	+1 +/–
> Жду новость с обновлением OCH и HДC. У меня без них совсем не работает, > начальник из-за этого грозится уволить и нанять помоложе. НДС тебе налоговики сами обновят, в 2026 году, не парься. Это к твоей бухгалтерии вопросы.

1.3, jura12 (ok), 13:26, 10/12/2025 [ответить] [﹢﹢﹢] [ · · · ]	+/–
откройте для себя caddy. то же что nginx только на 2 порядка проще. сайт работает по http2,3 после указания 3-5 строк. а то и меньше.

2.7, Аноним (7), 15:13, 10/12/2025 [^] [^^] [^^^] [ответить]	+/–
https://www.netcraft.com/blog/november-2025-web-server-survey

3.11, Аноним (11), 18:17, 10/12/2025 [^] [^^] [^^^] [ответить]	–1 +/–
Для меня вообще новость, что apache существует. Это что-то из времён php3 и shared хостингов.

4.20, Аноним (20), 21:53, 10/12/2025 [^] [^^] [^^^] [ответить]	+/–
Кроме того, он до сих пор есть в экзамене на сертификат RHCSA

5.34, кек (?), 08:55, 11/12/2025 [^] [^^] [^^^] [ответить]	+/–
Неудивительно, кому как не RH кормить всех дремучим легаси под соусом стабильности

2.19, zeecape (ok), 21:49, 10/12/2025 [^] [^^] [^^^] [ответить]	+/–
Может и проще, но в плане производительности он заметно хуже. Для дома и мелкого проекта сгодится, но вот для крупных он совершенно непригоден

3.25, Аноним (25), 01:19, 11/12/2025 [^] [^^] [^^^] [ответить]	+6 +/–
Не рассказывай сказки. https://linuxconfig.org/ultimate-web-server-benchmark-apache-nginx-litespeed-o Я пролистал ещё с десяток бенчей, и везде ± один и тот же порядок чисел. За исключением статьи на хабре. Но тут больше вопросов к автору, на что он рассчитывал, нагружая Caddy на 9000000 rps. :)

2.29, Аноним (29), 08:29, 11/12/2025 [^] [^^] [^^^] [ответить]	–1 +/–
Откройте для себя Angie. То же, что nginx, только Angie

3.32, Аноним (-), 08:47, 11/12/2025 [^] [^^] [^^^] [ответить]	+1 +/–
> Откройте для себя Angie. То же, что nginx, только Angie И сабжевые улучшения еще не скопипастили? :)

3.35, кек (?), 08:55, 11/12/2025 [^] [^^] [^^^] [ответить]	+1 +/–
Так если это тот же нгникс, зачем его открывать? Можно просто продолжать жить с нгникс

2.31, Аноним (-), 08:46, 11/12/2025 [^] [^^] [^^^] [ответить]	–2 +/–
> откройте для себя caddy. то же что nginx только на 2 порядка > проще. сайт работает по http2,3 после указания 3-5 строк. а то > и меньше. Вот только тормозит и RAM жрет он в разы злее. Я тут видел как нжинкс держал на себе небольшой DDoS, не парясь особо. Воркеры несколько ядер прогрузили, да. Но - ничего не сдохло, и даже перфоманс не особо просел (рулесы нжинкса отбивали ботов перед тяжелыми реквестами). Боты упирались, упирались - но не судьба. А атака видимо стала дороговата длля атакующего и он отвалил в туман. А этот твой caddy наверное завалился бы под таим адовищем.

3.52, jura12 (ok), 21:47, 11/12/2025 [^] [^^] [^^^] [ответить]	+/–
так сфера применения какая? надо вычислить для кого нужен nginx, а для кого caddy. окажется что количество домохозяек в разы больше чем хостеров. а домохозяйкам нужен caddy.

1.5, Аноним (5), 14:54, 10/12/2025 [ответить] [﹢﹢﹢] [ · · · ]	–2 +/–
Мне не нравится HTTP/2.0 из-за бесконтрольности со стороны клиента: - data compression of HTTP headers - HTTP/2 Server Push - prioritization of requests - multiplexing multiple requests over a single TCP connection

2.33, Аноним (-), 08:50, 11/12/2025 [^] [^^] [^^^] [ответить]

+2 +/–

> - data compression of HTTP headers

Его по моему опционально юзать. Да и простой он в общем то.

> - HTTP/2 Server Push

Уже объявлен deprecared как таковой. Нафиг нужная фича - криво юзалось и так и не получило особого распостранения.

> - prioritization of requests

Вы имеете что-то против шустрой загрузки сайтов?

> - multiplexing multiple requests over a single TCP connection

Вы походу ненавидите быструю загрузку сайтов, ибо зачем еще вам лишние RTT и оверхед надо? И какой-нибудь head of line blocking может здорово доставить на HTTP 1.x - когда сайт грузится с жалкой скоростью даже если все условия как бы и есть.

3.48, Аноним (5), 13:08, 11/12/2025 [^] [^^] [^^^] [ответить]	+1 +/–
Кто сказал, что приоритетным и многопоточным будет трафик клиента-человека и то что ему нужно? Вы говорите об этом как само собой разумеющемся.

2.36, Аноним (7), 09:04, 11/12/2025 [^] [^^] [^^^] [ответить]	–1 +/–
https://opennet.ru/63738-pingora

1.6, Аноним (7), 15:10, 10/12/2025 [ответить] [﹢﹢﹢] [ · · · ]	+/–
>Добавлена поддержка TLS-расширения ECH Вот это хорошо.

2.8, Аноним (8), 16:00, 10/12/2025 [^] [^^] [^^^] [ответить]	+/–
РКН уже потирает свои грязные ручки.

3.10, Аноним (9), 16:44, 10/12/2025 [^] [^^] [^^^] [ответить]	–1 +/–
Далее ты скажешь, что "ECH заблокирован в РФ"?

3.12, Аноним (12), 18:38, 10/12/2025 [^] [^^] [^^^] [ответить]	+/–
ТСПУ не умеет блокировать ECH , примитивно заблочили служебный домен клауда . Технология предназначена для безопасности , а не обхода - потому клауд недосмотрел . Но если начнут применять все , да без специфичных доменов - роскомпозор будет потирать НЕ ручки .

4.14, Аноним (9), 19:22, 10/12/2025 [^] [^^] [^^^] [ответить]	–2 +/–
Все верно сказал, но если начнут применять все, то поступят просто как в Китае и Иране - заблокируют каналы получения DNS HTTPS RR а именно все "нехорошие" DoH/DOT серверы.

5.18, Аноним (11), 21:40, 10/12/2025 [^] [^^] [^^^] [ответить]	–1 +/–
Ну ничего, DoQ в Китае всё равно работал. Они блокируют технологии позапрошлого поколения, устаревшие на 5 лет.

5.23, Tron is Whistling (?), 23:56, 10/12/2025 [^] [^^] [^^^] [ответить]	+/–
Как только ECH перейдёт в разряд mandatory - смогут хоть обблокироваться :) Без интернетов - тоже нормально.

6.37, Аноним (-), 09:24, 11/12/2025 [^] [^^] [^^^] [ответить]	+/–
> Как только ECH перейдёт в разряд mandatory - смогут хоть обблокироваться :) > Без интернетов - тоже нормально. Если ты не заметил вайтлисты появились, как минимум у сотовых операторов. И вот что ты с этим будешь делать? Да, господа на югах рутинно отдыхают... от интернета. Почему-то. Вот такой вот хреновый отдых.

7.49, Tron is Whistling (?), 14:54, 11/12/2025 [^] [^^] [^^^] [ответить]	+/–
Чего-чего. Возьму чемодан, поеду в аэропорт.

1.13, penetrator (?), 19:12, 10/12/2025 [ответить] [﹢﹢﹢] [ · · · ]	+/–
он поддерживает HTTP2 без TLS?

1.15, Аноним (15), 19:57, 10/12/2025 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
Http2 это как-то не особенно свежо звучит. Нужен-то http3.

2.43, Аноним (43), 11:13, 11/12/2025 [^] [^^] [^^^] [ответить]	+1 +/–
>Нужен-то http3 Зачем он нужен гуглу, амазону, етц я понимаю. А тебе зачем нужен http3? Поделись.

2.44, Аноним (44), 11:44, 11/12/2025 [^] [^^] [^^^] [ответить]	+/–
В Angie уже год как

2.46, Q2W (?), 11:57, 11/12/2025 [^] [^^] [^^^] [ответить]	+/–
Между nginx'ом и бекендом? Зачем?

2.53, jura12 (ok), 21:50, 11/12/2025 [^] [^^] [^^^] [ответить]	+/–
в некоторых случаях http2 быстрее http3, а в некоторых наоборот. зависит от того что и как передаем.

1.21, Аноним (21), 23:04, 10/12/2025 [ответить] [﹢﹢﹢] [ · · · ]	+2 +/–
Ждал чего то в этом роде. Что весь запад перейдет на ECH и РКН будет вынужден выбирать между капитуляцией и самоизоляцией. Ну, знаете, условно, если гугл вдруг скажет на давайте блочте нас. Только тогда обновлений на телефоны тоже не получите. И наверное все таки здравый смысл однажды возобладает. Т.к. наверное все таки дешевле пропустить одного "экстремиста", чем клепать свои телефоны и компьютеры.

2.22, Антошка (??), 23:43, 10/12/2025 [^] [^^] [^^^] [ответить]	+1 +/–
Это при условии что клепать умеешь, а с этим ОЙ.

3.24, Аноним (21), 00:15, 11/12/2025 [^] [^^] [^^^] [ответить]	–1 +/–
Так и я об этом Променяют просто шило на мыло Западные зонды на китайские, кот... большой текст свёрнут, показать

4.26, Аноним (26), 06:13, 11/12/2025 [^] [^^] [^^^] [ответить]

+1 +/–

> Демократические революции потому и произошли, что народ осознал

Глупость какая, как народ может осознать? или вы чувствуюте управляющую волю коллективного разума?

одни дяди заплатили деньги другим, чтобы те налили в уши третим, вот и вся история.

Если комуто выгодно, называть черное белым, и это быдет приносить прибыль, то обязательно найдутся те кто будет с этого кормиться, инквизиция отрицала главную заповедь своего бога, и не плохо себя чувствовала конфискуя имущество убиваемых еретиков, а попутно нарушала и все остальные заповеди, это бизнес.

5.30, Аноним (7), 08:41, 11/12/2025 [^] [^^] [^^^] [ответить]	+/–
Из-под палки ничего нормального не получится. Почитайте «Почему одни страны богатые, а другие бедные» 2012г.

5.38, Аноним (21), 09:26, 11/12/2025 [^] [^^] [^^^] [ответить]	+/–
Для этого в современном мире есть такая вещь, как статистика Сколько людей игра... большой текст свёрнут, показать

6.41, Tron is Whistling (?), 09:52, 11/12/2025 [^] [^^] [^^^] [ответить]	+/–
Да не узнать-то можно, но это прямой путь в резервацию в разрезе столетия.

5.39, Аноним (21), 09:43, 11/12/2025 [^] [^^] [^^^] [ответить]	+/–
Ну или статистика попроще. Сколько людей добровольно пользовались VK Мессенжером до того, как альтернативы не начали блокировать? Это называется голосовать кошельком. И для этого даже не нужно идти на выборы, где "Главное не кто голосует, а кто считает".

5.42, Аноним (21), 10:21, 11/12/2025 [^] [^^] [^^^] [ответить]	+/–
Т.е. демократия это даже не про выборы и это вот все. Что толку сейчас от выборов, если они безальтернативные? Это как в старом анекдоте про супермакет и ларек. Смысл хотя бы возможности голосовать кошельком, а не хавать, что дают.

1.47, Q2W (?), 11:58, 11/12/2025 [ответить] [﹢﹢﹢] [ · · · ]	+/–
> Использование ECH включается через указание в директиве "ssl_ech_file" файла конфигурации ECHConfig в формате PEM. Ну т.е. по дефолту не работает, а специально этим заморачиваться мало кто будет. А значит ECH не станет повсеместным.

2.51, нах. (?), 19:41, 11/12/2025 [^] [^^] [^^^] [ответить]

+/–

К счастью, да.

Ты самую мякотку пропустил:
> Поддержка доступна при использовании сборок OpenSSL с ECH.

И ссылочка на мертвую ветку в гите.

тот специальнозаморочившийся васян просто переставит свой сервер, потому что вряд ли даже хватит мозга понять почему больше не может на него зайти, и больше так заморачиваться не будет.

игнорирование участников | лог модерирования

Добавить комментарий

Текст: