Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Новая версия nginx 1.29.1. Представлен модуль ngx_http_acme"	+/–
Сообщение от opennews (??), 14-Авг-25, 08:45
Опубликован выпуск основной ветки nginx 1.29.1, в  которой продолжается развитие новых возможностей. В параллельно поддерживаемую стабильную ветку 1.28.x вносятся только изменения, связанные с устранением серьёзных ошибок и уязвимостей. В дальнейшем на базе основной ветки 1.29.x будет сформирована стабильная ветка 1.30. Код проекта написан на языке Си и распространяется под лицензией BSD... Подробнее: https://www.opennet.me/opennews/art.shtml?num=63725
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по времени | RSS]

1. "Новая версия nginx 1.29.1. Представлен модуль ngx_http_acme"	–11 +/–
Сообщение от Аноним (1), 14-Авг-25, 08:45
> автоматизации запроса, получения и обновления сертификатов Уже слишком поздно. В современных серверах такой функционал был годами, и вряд ли щас все кинутся обратно в нгинкс, лишь потому что он наконец проявил какие-то редкие признаки современности. Нгинкс всё.
Ответить | Правка | Наверх | Cообщить модератору

	2. "Новая версия nginx 1.29.1. Представлен модуль ngx_http_acme"	–9 +/–
	Сообщение от анон (?), 14-Авг-25, 08:48
	А какие есть плюсы у nginx в настоящее время? Раньше-то понятно, если сравнивать с апачем
	Ответить | Правка | Наверх | Cообщить модератору

	4. "Новая версия nginx 1.29.1. Представлен модуль ngx_http_acme"	–5 +/–
	Сообщение от Аноним (4), 14-Авг-25, 09:00
	Плюсы у nginx сейчас такие же, как и раньше: тянет тысячи и тысячи запросов в секунду, при этом PHP не падает, а вот на apache очень даже падает. Делал высоканагруженные приложения на PHP и мне еще ни разу удалось нормально завести свою разработку на apche, а вот на nginx все без проблем работает, т. е. это все личный опыт. P. S. И вот не надо мне тут, что я не умею настраивать apche, все я умею, в свое время все конфиги и все нюансы изучил пытаясь подкрутить его.
	Ответить | Правка | Наверх | Cообщить модератору

	7. "Новая версия nginx 1.29.1. Представлен модуль ngx_http_acme"	+8 +/–
	Сообщение от Tron is Whistling (?), 14-Авг-25, 09:15
	У нгинха внезапно нет php, есть только интерфейс к fpm. На апаче тоже можно mpm_event завести и дальше mod_proxy к fpm, в итоге будет не сильно нагруженнее нгинха. И да, ты действительно не умеешь крутить апач.
	Ответить | Правка | Наверх | Cообщить модератору

	12. "Новая версия nginx 1.29.1. Представлен модуль ngx_http_acme"	+/–
	Сообщение от Аноним (12), 14-Авг-25, 09:49
	Почему, есть, называется nginx unit, только это совсем другой продукт. Кстати довольно неплохой.
	Ответить | Правка | Наверх | Cообщить модератору

	86. "Новая версия nginx 1.29.1. Представлен модуль ngx_http_acme"	–2 +/–
	Сообщение от rshadow (ok), 15-Авг-25, 14:29
	Диалог "байки из склепа" какой-то. Там уже каждый язык напилил себе миллион http серверов и прокладок. Запускать что-то на nginx и апаче это моветон какой-то из начала 2000-х. Ngxin все еще используется как l7 балансер, но кажется конкурентов у него уже много. Особенно в свете любителей облаков, докеров и всяких k8s.
	Ответить | Правка | Наверх | Cообщить модератору

	103. "Новая версия nginx 1.29.1. Представлен модуль ngx_http_acme"	+/–
	Сообщение от Tron is Whistling (?), 18-Авг-25, 09:49
	Каждый язык напилил, а юзают всё равно нормальные вёбсерверы. Потому что всё это напиленное не выдерживает сколь-либо серьёзной нагрузки и не конфигурируется в должной мере.
	Ответить | Правка | Наверх | Cообщить модератору

	105. "Новая версия nginx 1.29.1. Представлен модуль ngx_http_acme"	+/–
	Сообщение от Аноним (105), 18-Авг-25, 16:59
	> Потому что всё это напиленное не выдерживает сколь-либо серьёзной нагрузки и не конфигурируется в должной мере. Ты сейчас на полном серьёзе рассказываешь, что тьюринг-полный ЯП обшего назначения не конфигурируется в должной мере, в отличие от формата конфига апача? Ой-вей. Тут медицина бессильна.
	Ответить | Правка | Наверх | Cообщить модератору

	78. "Новая версия nginx 1.29.1. Представлен модуль ngx_http_acme"	–2 +/–
	Сообщение от Аноним (-), 15-Авг-25, 12:45
	> У нгинха внезапно нет php, есть только интерфейс к fpm. На апаче > тоже можно mpm_event завести и дальше mod_proxy к fpm, в итоге > будет не сильно нагруженнее нгинха. > И да, ты действительно не умеешь крутить апач. Потому что чем проще и логичнее решается задача - тем лучше. То что из д@рьма можно путем долгих преобразований сделать отдаленное подобие конфетки - не делает его другой субстанцией. А нжинкс сразу работает как надо и не делает мозг. За что его и любят.
	Ответить | Правка | К родителю #7 | Наверх | Cообщить модератору

	96. "Новая версия nginx 1.29.1. Представлен модуль ngx_http_acme"	+/–
	Сообщение от Tron is Whistling (?), 16-Авг-25, 22:03
	Там не надо никаких долгих преобразований. Повторюсь: ты просто не умеешь его готовить. А вот заставить nginx в .htaccess, чтобы по каждому чиху конфиг не править и демон не дёргать - это уже отдельная тема.
	Ответить | Правка | Наверх | Cообщить модератору

	100. "Новая версия nginx 1.29.1. Представлен модуль ngx_http_acme"	+/–
	Сообщение от Аноним (105), 17-Авг-25, 21:43
	> А вот заставить nginx в .htaccess, чтобы по каждому чиху конфиг не править и демон не дёргать - это уже отдельная тема. Я бы ещё понял, если бы тебе какая-то уникальная функциональность нужна была. Но если проблема реально уровня «конфиг не править и демон не дёргать» — это какой-то лол. В чём проблема отредактировать конфиг и где принципиальная разница с редактированием .htaccess? Про такую простую вещь как атомарная перезагрузка конфига по сигналу или обновлению файла даже упоминать грешно, это релизовано сто лет назад для любой комбинации ОС/ЯП где это в принципе возможно. Ты либо что-то не договариваешь, либо у тебя там цирк с ручным управлением серверами в духе старой школы девяностых, логин юзером через судо в рута, и забытые в 99м Сан Санычем сессии screen с vi.
	Ответить | Правка | Наверх | Cообщить модератору

	102. "Новая версия nginx 1.29.1. Представлен модуль ngx_http_acme"	+/–
	Сообщение от Tron is Whistling (?), 18-Авг-25, 09:45
	> это релизовано сто лет назад для любой комбинации ОС/ЯП где это В нгинхе реализовано? Или надо поверх монитор колхозить?
	Ответить | Правка | Наверх | Cообщить модератору

	106. "Новая версия nginx 1.29.1. Представлен модуль ngx_http_acme"	+/–
	Сообщение от Аноним (105), 18-Авг-25, 17:00
	«Нгинх» — это язык программирования или ОС?
	Ответить | Правка | Наверх | Cообщить модератору

	97. "Новая версия nginx 1.29.1. Представлен модуль ngx_http_acme"	+/–
	Сообщение от Tron is Whistling (?), 16-Авг-25, 22:07
	Чисто прокси-специфичный конфиг на FPM для примера к базовой конфигурации: И ффсё. Сложнее по вкусу. --- DirectoryIndex index.php <Proxy "unix:/opt/app/run/fpm.sock|fcgi://php-fpm-app/" connectiontimeout=10 max=100 retry=1 timeout=900> </Proxy> ProxyTimeout 900 <FilesMatch \.php$>     SetHandler "proxy:fcgi://php-fpm-app/" </FilesMatch>
	Ответить | Правка | К родителю #78 | Наверх | Cообщить модератору

	15. "Новая версия nginx 1.29.1. Представлен модуль ngx_http_acme"	–4 +/–
	Сообщение от User (??), 14-Авг-25, 10:24
	Нафига тебе тысячи и тысячи запросов index.html с диска? Или ты про robots.txt?
	Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

	32. "Новая версия nginx 1.29.1. Представлен модуль ngx_http_acme"	+1 +/–
	Сообщение от Аноним (32), 14-Авг-25, 13:13
	https://www.netcraft.com/blog/july-2025-web-server-survey
	Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

	40. "Новая версия nginx 1.29.1. Представлен модуль ngx_http_acme"	+/–
	Сообщение от Tron is Whistling (?), 14-Авг-25, 14:48
	Судя по тому, как там отхер растёт, статистика уже не отражает действительности, те же апачи и т.п. просто не афишируют себя или находятся за балансерами, скрывающими инфру.
	Ответить | Правка | Наверх | Cообщить модератору

	64. "Новая версия nginx 1.29.1. Представлен модуль ngx_http_acme"	+/–
	Сообщение от пох. (?), 14-Авг-25, 21:23
	> Судя по тому, как там отхер растёт, статистика уже не отражает действительности, > те же апачи и т.п. просто не афишируют себя или находятся > за балансерами, скрывающими инфру. это ты щас про к@лофайр или кого импортозамещенного? А то балансеры в виде модных молодежных аплайансов обычно хороши корпоративную хрень какую прятать. А под нагрузкой их самих прятать приходится, а то вот... лопнуло и забрызгало меня и товарищей прессу. Ну и зачем нам кузнец в таком раскладе - тоже не очень понятно. Нода жеес сама себе хетететепе 2.0 модный сервер. Ну с некоторыми недостатками, но за тремя слоями прокси их видно не будет. Т.е. вполне можешь учесть то что торчит таки наружу (не ноду же ж считать) именно вебсервером. отхeр так отхeр...
	Ответить | Правка | Наверх | Cообщить модератору

	79. "Новая версия nginx 1.29.1. Представлен модуль ngx_http_acme"	–4 +/–
	Сообщение от Аноним (-), 15-Авг-25, 12:48
	> Судя по тому, как там отхер растёт, статистика уже не отражает действительности, > те же апачи и т.п. просто не афишируют себя или находятся > за балансерами, скрывающими инфру. Проблема апача как раз в том что сам по себе нормально работать - и сразу - это как раз не про него. За это он и пролюбливает рынок. Утюг энтерпрайзный. Умеет летать - но недолго и почти отвесно вниз.
	Ответить | Правка | К родителю #40 | Наверх | Cообщить модератору

	52. "Новая версия nginx 1.29.1. Представлен модуль ngx_http_acme"	–4 +/–
	Сообщение от Zeke Fast (?), 14-Авг-25, 18:06
	PHP и высоконагруженное приложение уже смешно звучит! :) 2006-2010 ещё прошло бы, но не в 2025!
	Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

	57. "Новая версия nginx 1.29.1. Представлен модуль ngx_http_acme"	+/–
	Сообщение от Аноним (-), 14-Авг-25, 19:38
	что смешного? такто сейчас бэк нередко на питонах всяких вообще а он на порядок медленней современного php
	Ответить | Правка | Наверх | Cообщить модератору

	76. "Новая версия nginx 1.29.1. Представлен модуль ngx_http_acme"	+3 +/–
	Сообщение от Аноним (76), 15-Авг-25, 10:31
	При всей моей нелюбви к php, он сильно быстрее питона, на котором сейчас пишут все бекенды. Так что если тебе не смешно от словосочетания "Python и высоконагруженное приложение в 2025", то хз что тебя насмешило в php.
	Ответить | Правка | К родителю #52 | Наверх | Cообщить модератору

	80. "Новая версия nginx 1.29.1. Представлен модуль ngx_http_acme"	–1 +/–
	Сообщение от Аноним (-), 15-Авг-25, 12:51
	> При всей моей нелюбви к php, он сильно быстрее питона, на котором > сейчас пишут все бекенды. Так что если тебе не смешно от > словосочетания "Python и высоконагруженное приложение в 2025", то хз что тебя > насмешило в php. Если вы не заметили - питона нынче из веба везде выставляет Go. Изначально с подачи гугдя, но ... почему-то все знакомые PHPшники на него перешли.
	Ответить | Правка | Наверх | Cообщить модератору

	98. "Новая версия nginx 1.29.1. Представлен модуль ngx_http_acme"	+/–
	Сообщение от GG (ok), 17-Авг-25, 04:29
	Не заметили. На питоне инструментов много всяких. На го ничерта готового нет (то что есть — в 90% заброшено и дисфункционально), всё сам коди. И при этом питон дёргает си-модули быстрее всех на свете. И позволяет писать аккуратно, а программисты всё ещё стоят дороже компьютеров.
	Ответить | Правка | Наверх | Cообщить модератору

	93. "Новая версия nginx 1.29.1. Представлен модуль ngx_http_acme"	+/–
	Сообщение от Jh (?), 15-Авг-25, 18:56
	Хайлоад можно сделать из всего, главное серверов побольше подключить)
	Ответить | Правка | К родителю #52 | Наверх | Cообщить модератору

	104. "Новая версия nginx 1.29.1. Представлен модуль ngx_http_acme"	+/–
	Сообщение от Tron is Whistling (?), 18-Авг-25, 09:51
	Um, 1000 запросов в секунду на логику приложения я ещё 5 лет назад на пыхе без JIT'а в 4 ядра имел. Нет, не на "буизнес логику", на специфичную логику с кучей кеширования и костылями для предотвращения thundering herd, но тем не менее.
	Ответить | Правка | К родителю #52 | Наверх | Cообщить модератору

	14. "Новая версия nginx 1.29.1. Представлен модуль ngx_http_acme"	+/–
	Сообщение от User (??), 14-Авг-25, 10:23
	Нуээээ... некоторые админы (думают, что) его знают.
	Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

	49. "Новая версия nginx 1.29.1. Представлен модуль ngx_http_acme"	+/–
	Сообщение от freehck (ok), 14-Авг-25, 17:01
	> А какие есть плюсы у nginx в настоящее время? Я бы сказал так: какие бы плюсы ни были у альтернативных решений, им всем сопутствует потеря производительности на 20-40% относительно nginx.
	Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

	81. "Новая версия nginx 1.29.1. Представлен модуль ngx_http_acme"	+/–
	Сообщение от Аноним (-), 15-Авг-25, 12:54
	> А какие есть плюсы у nginx в настоящее время? Раньше-то понятно, если > сравнивать с апачем Они и сейчас - остались. Конечно есть еще более специализированные ultra-performance штуки, которые и нжинксу мастеркласс дадут. Но они нишевые и либо спецом под занятие призовых мест в бенчах, либо просто странноватые зверушки под задачи. Их общий набор фич куда меньше.
	Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

	18. "Новая версия nginx 1.29.1. Представлен модуль ngx_http_acme"	+2 +/–
	Сообщение от Аноним (18), 14-Авг-25, 11:14
	>Нгинкс всё. Ты сказал?
	Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

	19. "Новая версия nginx 1.29.1. Представлен модуль ngx_http_acme"	+/–
	Сообщение от Cyd (?), 14-Авг-25, 11:31
	а чем, кстати, в этом сезоне модно раздавать статику и дергать бэкенды?
	Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

	21. "Новая версия nginx 1.29.1. Представлен модуль ngx_http_acme"	+4 +/–
	Сообщение от пох. (?), 14-Авг-25, 11:34
	в этом сезоне немодно статику. Жизненно необходимо favicon.ico хранить в amazon s3!
	Ответить | Правка | Наверх | Cообщить модератору

	23. "Новая версия nginx 1.29.1. Представлен модуль ngx_http_acme"	+1 +/–
	Сообщение от 12yoexpert (ok), 14-Авг-25, 11:46
	на этой неделе прячут за клаудфларью
	Ответить | Правка | Наверх | Cообщить модератору

	46. "Новая версия nginx 1.29.1. Представлен модуль ngx_http_acme"	–2 +/–
	Сообщение от Аноним (105), 14-Авг-25, 16:29
	А где ж ещё его хранить? На железном сервере с линуксом и сабжем? Ух, сейчас бы статические ресурсы не через cdn раздавать. Вам что, реально так нравится сервера админить?
	Ответить | Правка | К родителю #21 | Наверх | Cообщить модератору

	50. "Новая версия nginx 1.29.1. Представлен модуль ngx_http_acme"	+/–
	Сообщение от freehck (ok), 14-Авг-25, 17:10
	> а чем, кстати, в этом сезоне модно раздавать статику и дергать бэкенды? Астрологи объявили неделю моды на раздачу статики через NodeJS: NodeJS -- даёшь по ядру на каждые 10 rps!
	Ответить | Правка | К родителю #19 | Наверх | Cообщить модератору

	82. "Новая версия nginx 1.29.1. Представлен модуль ngx_http_acme"	+/–
	Сообщение от Аноним (-), 15-Авг-25, 12:56
	>> а чем, кстати, в этом сезоне модно раздавать статику и дергать бэкенды? > Астрологи объявили неделю моды на раздачу статики через NodeJS: > NodeJS -- даёшь по ядру на каждые 10 rps! В принципе на топовом EPYC с 192 ядрами даже не так уж позорно будет. То что нжинкс с этого зальет весь глобус в одиночку - вопрос номер два :)
	Ответить | Правка | Наверх | Cообщить модератору

	34. "Новая версия nginx 1.29.1. Представлен модуль ngx_http_acme"	+1 +/–
	Сообщение от bergentroll (ok), 14-Авг-25, 13:19
	Современные сервера́ — это какие?
	Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

16. Скрыто модератором	+1 +/–
Сообщение от пох. (?), 14-Авг-25, 11:05
уря, теперь F5 копипастит код из agnie. (но что-то как-то медленно получается - "предварительная версия" того что сто лет как работает) не то чтобы этот модуль конечно уже был кому-то сильно нужен...
Ответить | Правка | Наверх | Cообщить модератору

17. "Новая версия nginx 1.29.1. Представлен модуль ngx_http_acme"	+/–
Сообщение от freehck (ok), 14-Авг-25, 11:08
> предварительный выпуск модуля ngx_http_acme это конечно всё очень интересно, но во-первых там всего лишь http-челлендж поддерживается, а dns-челлендж в большинстве случаев куда удобнее, а во-вторых, как они себе представляют дальнейшее добавление dns-челленджей без ущерба безопасности nginx-а? Всё-таки подобные вещи лучше держать за пределами веб-сервера.
Ответить | Правка | Наверх | Cообщить модератору

	20. "Новая версия nginx 1.29.1. Представлен модуль ngx_http_acme"	+2 +/–
	Сообщение от пох. (?), 14-Авг-25, 11:33
	как ты себе представляешь dns-01 в веб-сервере? > а dns-челлендж в большинстве случаев куда удобнее в большинстве случаев он совершенно излишен. Необходимо и достаточно для 99% сайтов-однодневок автоматически получить совершенно им ненужный сертификат и так же автоматически его обновить через пол-дня согласно новым улучшенным требованиям. И всьо. А для обработки платежей неплохо бы хранить ключи не в /tmp с правами 666, для начала. И может быть даже, о ужас, зашифрованными и с ручной разблокировкой. Хотя, конечно, на самом деле все равно свалят в /tmp и сделают "ЧМОД" а потом еще в гитляп и шитхап закомитят для надежности. А тогда нафига было стараться и с основным сайтом-то?
	Ответить | Правка | Наверх | Cообщить модератору

	22. "Новая версия nginx 1.29.1. Представлен модуль ngx_http_acme"	–1 +/–
	Сообщение от Аноним (22), 14-Авг-25, 11:46
	dns-01 в веб-сервере можно сделать, дергая API dns-сервера (ограничившись dns-серверами, где API есть). Тут бы вполне пригодился njs, чтобы не писать плагины на C/Rust под каждый API.
	Ответить | Правка | Наверх | Cообщить модератору

	28. "Новая версия nginx 1.29.1. Представлен модуль ngx_http_acme"	+1 +/–
	Сообщение от пох. (?), 14-Авг-25, 12:27
	если у тебя есть доступ к этому апи у веб-мордочки - у тебя уже все плохо.
	Ответить | Правка | Наверх | Cообщить модератору

	30. "Новая версия nginx 1.29.1. Представлен модуль ngx_http_acme"	+/–
	Сообщение от Аноним (30), 14-Авг-25, 13:12
	многие думают, что апи существует для того, чтобы дергать его из любого места :)
	Ответить | Правка | Наверх | Cообщить модератору

	33. "Новая версия nginx 1.29.1. Представлен модуль ngx_http_acme"	+/–
	Сообщение от пох. (?), 14-Авг-25, 13:13
	> многие думают, что апи существует для того, чтобы дергать его из любого > места :) оно потом _оказывается_ что так и есть ;-)
	Ответить | Правка | Наверх | Cообщить модератору

	35. "Новая версия nginx 1.29.1. Представлен модуль ngx_http_acme"	+/–
	Сообщение от Аноним (30), 14-Авг-25, 14:16
	> оно потом _оказывается_ что так и есть ;-) для публичных апи может и быть, менеджмент апи - нет, сугубо приватное (изолированное от несанкционированного доступа).
	Ответить | Правка | Наверх | Cообщить модератору

	83. "Новая версия nginx 1.29.1. Представлен модуль ngx_http_acme"	+/–
	Сообщение от Аноним (-), 15-Авг-25, 12:57
	>> оно потом _оказывается_ что так и есть ;-) > для публичных апи может и быть, менеджмент апи - нет, сугубо приватное > (изолированное от несанкционированного доступа). Ну так аэрофлота вон тебе и поменеджили немного :). Если нечто "сугубо приватное" это еще не значит что атакующий туда не доберется.
	Ответить | Правка | Наверх | Cообщить модератору

	39. "Новая версия nginx 1.29.1. Представлен модуль ngx_http_acme"	+/–
	Сообщение от Tron is Whistling (?), 14-Авг-25, 14:46
	А там не надо доступ к апи у веб-мордочки. Там надо доступ у основного процесса мордочки, юзеры в него не смотрят. Ну и даже если проломится до рута - а чего оно кроме единственного TXT подёргает-то... Мне больше нравится само наличие ключей от ACME в контексте вёб-мордочки, поэтому я эти механизмы не использую вообще, генерацией сертификатов занимается совершенно отдельный сервис, который как раз DNS может подёргать, и уже потом их апдейтит в вебню.
	Ответить | Правка | К родителю #28 | Наверх | Cообщить модератору

	42. "Новая версия nginx 1.29.1. Представлен модуль ngx_http_acme"	+1 +/–
	Сообщение от Аноним (30), 14-Авг-25, 14:52
	> занимается совершенно отдельный сервис разделение труда :) эй нджинкс, завари ка чаю
	Ответить | Правка | Наверх | Cообщить модератору

	60. "Новая версия nginx 1.29.1. Представлен модуль ngx_http_acme"	+/–
	Сообщение от Аноним (60), 14-Авг-25, 21:04
	есть такая штука, как разные права доступа для разных api keys
	Ответить | Правка | К родителю #28 | Наверх | Cообщить модератору

	25. "Новая версия nginx 1.29.1. Представлен модуль ngx_http_acme"	+/–
	Сообщение от Tron is Whistling (?), 14-Авг-25, 11:53
	> как ты себе представляешь dns-01 в веб-сервере? Да элементарно, можно таки dynamic update подёргать. Тот же вайлдкард без dns-01 не выпихать.
	Ответить | Правка | К родителю #20 | Наверх | Cообщить модератору

	27. "Новая версия nginx 1.29.1. Представлен модуль ngx_http_acme"	+/–
	Сообщение от пох. (?), 14-Авг-25, 12:27
	> Да элементарно, можно таки dynamic update подёргать. я бы предпочел чтобы веб-сервер таки не имел доступа ни к каким dynamic updates. И вот особенно - основного домена самого веб-сервера (авторам идеи надо было бы кол в бошку вбить за то что они не додумались выделить субдомен для своих игрищ и еще и запихали запрещенный символ в имя записи) > Тот же вайлдкард без dns-01 не выпихать. тот же вайлдкард низачем и не нужен при автоматизированном получении стольких сертификатов сколько душа жаждет. Он был нужен прежде всего чтобы сэкономить усилия (и еще немножечко вредить). А машина - она железная.
	Ответить | Правка | Наверх | Cообщить модератору

	37. "Новая версия nginx 1.29.1. Представлен модуль ngx_http_acme"	+/–
	Сообщение от Tron is Whistling (?), 14-Авг-25, 14:43
	Ды ладно, why not. Разрешить вот конкретный _acme_challenge TXT подёргать - невелика беда. Тем более, что это не в контексте пользователя в том же апаче будет дёргаться, а в контексте основного процесса. > тот же вайлдкард низачем и не нужен при автоматизированном получении стольких сертификатов Сейчас если лучшая идиотская идея в виде срока жизни в 30 дней пройдёт - уже будет нужен...
	Ответить | Правка | Наверх | Cообщить модератору

	38. "Новая версия nginx 1.29.1. Представлен модуль ngx_http_acme"	+/–
	Сообщение от Tron is Whistling (?), 14-Авг-25, 14:44
	// в менее 30 дней
	Ответить | Правка | Наверх | Cообщить модератору

	63. "Новая версия nginx 1.29.1. Представлен модуль ngx_http_acme"	+/–
	Сообщение от пох. (?), 14-Авг-25, 21:13
	> Ды ладно, why not. Разрешить вот конкретный _acme_challenge TXT подёргать А потом выяснится что где-то ошипка... Или подергать могут что-то не то, или подергать может не тот, или оба сразу. > Сейчас если лучшая идиотская идея в виде срока жизни в 30 дней > пройдёт - уже будет нужен... наоборот, поскольку придется отказываться от неавтоматических обновлений и надежных ключей - низачем станет не нужен. Раз уж оно все внутри и под контролем самого веб-сервера - то пусть на каждый домен получает, включая никому ненужные редиректилки ru.www.com -> www.com/ru Инфры этих троянских коней совсем ведь не жаль.
	Ответить | Правка | К родителю #37 | Наверх | Cообщить модератору

	41. "Новая версия nginx 1.29.1. Представлен модуль ngx_http_acme"	+/–
	Сообщение от Аноним (30), 14-Авг-25, 14:50
	> я бы предпочел чтобы я помню времена когда бинд (нейм сервер) и апач на одном сервере крутились :)))))
	Ответить | Правка | К родителю #27 | Наверх | Cообщить модератору

	62. "Новая версия nginx 1.29.1. Представлен модуль ngx_http_acme"	+/–
	Сообщение от пох. (?), 14-Авг-25, 21:08
	>> я бы предпочел чтобы > я помню времена когда бинд (нейм сервер) и апач на одном сервере > крутились :))))) только вот крутились они так что доступов у одного к другому не было. (они и сейчас там у тебя крутятся, только под капотом модных-современных-кластерных-контейнерных тяп-ляпнологий ты об этом узнаешь когда-нибудь после)
	Ответить | Правка | Наверх | Cообщить модератору

	66. "Новая версия nginx 1.29.1. Представлен модуль ngx_http_acme"	+/–
	Сообщение от Аноним (30), 14-Авг-25, 21:34
	> ты об этом узнаешь когда-нибудь после чур меня чур, не дожить бы до этого дня
	Ответить | Правка | Наверх | Cообщить модератору

	44. "Новая версия nginx 1.29.1. Представлен модуль ngx_http_acme"	+3 +/–
	Сообщение от freehck (ok), 14-Авг-25, 15:38
	> тот же вайлдкард низачем и не нужен при автоматизированном получении стольких сертификатов сколько душа жаждет Ровно до тех пор, пока ты не захочешь, чтобы домен не светился в логах Certificate Transparency.
	Ответить | Правка | К родителю #27 | Наверх | Cообщить модератору

	48. "Новая версия nginx 1.29.1. Представлен модуль ngx_http_acme"	+/–
	Сообщение от penetrator (?), 14-Авг-25, 16:53
	да да вайлдкард не нужен, зато теперь нужен SNI усилия, бугага
	Ответить | Правка | К родителю #27 | Наверх | Cообщить модератору

	69. "Новая версия nginx 1.29.1. Представлен модуль ngx_http_acme"	+/–
	Сообщение от пох. (?), 15-Авг-25, 00:58
	> да да вайлдкард не нужен, зато теперь нужен SNI так он в любом случае теперь нужен
	Ответить | Правка | Наверх | Cообщить модератору

	73. "Новая версия nginx 1.29.1. Представлен модуль ngx_http_acme"	+/–
	Сообщение от penetrator (?), 15-Авг-25, 04:07
	>> да да вайлдкард не нужен, зато теперь нужен SNI > так он в любом случае теперь нужен нахрена он сдался
	Ответить | Правка | Наверх | Cообщить модератору

	89. "Новая версия nginx 1.29.1. Представлен модуль ngx_http_acme"	+/–
	Сообщение от Аноним (60), 15-Авг-25, 15:39
	А чем он мешает-то? В IE 6 не работает?
	Ответить | Правка | К родителю #48 | Наверх | Cообщить модератору

	45. "Новая версия nginx 1.29.1. Представлен модуль ngx_http_acme"	+1 +/–
	Сообщение от freehck (ok), 14-Авг-25, 16:05
	>> а dns-челлендж в большинстве случаев куда удобнее > в большинстве случаев он совершенно излишен... ...там, где работает полтора землекопа. А что, если у тебя домен для приватной сети, и торчать в мир он в принципе не должен? А что, если ты хочешь выставить в мир домен, но ты не хочешь, чтобы мир об этом домене узнал? А что, если тебе нужно выписать сертификат в kubernetes, ingress-контроллер которого находится за балансером с proxy-protocol-ом? (см. [1]) Чтобы не страдать в описанных выше случаях -- возьмите себе на вооружение сразу и для всего использовать DNS-01. [1] https://github.com/compumike/hairpin-proxy?tab=readme-ov-fil...
	Ответить | Правка | К родителю #20 | Наверх | Cообщить модератору

	61. "Новая версия nginx 1.29.1. Представлен модуль ngx_http_acme"	+/–
	Сообщение от пох. (?), 14-Авг-25, 21:05
	>>> а dns-челлендж в большинстве случаев куда удобнее >> в большинстве случаев он совершенно излишен... > ...там, где работает полтора землекопа. > А что, если у тебя домен для приватной сети, и торчать в > мир он в принципе не должен? а днс для этой приватной сети мы гордо выснуем в мир, что может пойти не так, действительно? (и зачем такому домену сертификаты летшиткрипта? У таких сетей есть обычно свои pki, может даже не одна. Там еще и сертификаты на приватные ip адреса иногда нужны.) > А что, если ты хочешь выставить в мир домен, но ты не > хочешь, чтобы мир об этом домене узнал? и тут такой dns-сервачок встроенный прям в вебмордочку... > Чтобы не страдать в описанных выше случаях -- возьмите себе на вооружение > сразу и для всего использовать DNS-01. нет, спасибо. Я как раз категорически воздержусь от его использования где бы то ни было. acme дыряв бай дизайн в ста местах, но ЭТО делает его еще в разы дырявее. В тех случаях (редких, и тебе не понравится для чего) где мне нужен wildcard, он будет коммерческий, благо пока доступен, и, к счастью, пока его не надо обновлять раз в три дня.
	Ответить | Правка | Наверх | Cообщить модератору

	65. "Новая версия nginx 1.29.1. Представлен модуль ngx_http_acme"	+/–
	Сообщение от freehck (ok), 14-Авг-25, 21:25
	Какой-то сервачок в вебмордочку поставить, собственный PKI намутить, ACME оказывается дыряв... Не, чур меня с этим спорить.
	Ответить | Правка | Наверх | Cообщить модератору

	68. "Новая версия nginx 1.29.1. Представлен модуль ngx_http_acme"	+/–
	Сообщение от Аноним (60), 15-Авг-25, 00:38
	ну, в том редком случае (публичный хостинг) я написал на golang сервис, который через внутреннее апи powerdns-а кроме как этот самый acme challenge TXT менять, ничего и не умеет, и его и дергал из... кажется, это был acme.sh по большому счету, оба способа кривые (для dns-01 можно было бы какой-нибудь _acme делегировать на отдельные нсы, а http-01 это вечные проблемы курица vs яйцо), но лучше так, чем ручками ходить платить за сертифицированный воздух
	Ответить | Правка | К родителю #61 | Наверх | Cообщить модератору

	70. "Новая версия nginx 1.29.1. Представлен модуль ngx_http_acme"	+/–
	Сообщение от пох. (?), 15-Авг-25, 01:00
	> ну, в том редком случае (публичный хостинг) я написал на golang сервис, > который через внутреннее апи powerdns-а кроме как этот самый acme challenge ну да, он же у тебя никак не был связан с веб-сервером. А тут прямо в код сервера пихают и считают что так и нада. > по большому счету, оба способа кривые увы.
	Ответить | Правка | Наверх | Cообщить модератору

	90. "Новая версия nginx 1.29.1. Представлен модуль ngx_http_acme"	+/–
	Сообщение от Аноним (60), 15-Авг-25, 17:40
	да даже если бы его дергал веб-сервер, ничего страшного бы не случилось
	Ответить | Правка | Наверх | Cообщить модератору

	92. "Новая версия nginx 1.29.1. Представлен модуль ngx_http_acme"	+/–
	Сообщение от Аноним (30), 15-Авг-25, 18:30
	конечно, только в том случае если днс сервер отвечал только за одну зону, и тут что ломай днс, что ломай веб сервер - без разницы.
	Ответить | Правка | Наверх | Cообщить модератору

	75. "Новая версия nginx 1.29.1. Представлен модуль ngx_http_acme"	–1 +/–
	Сообщение от Moomintroll (ok), 15-Авг-25, 10:15
	> а днс для этой приватной сети мы гордо выснуем в мир, что может пойти не так, действительно? Выставлял, ничего не случилось. Просто нужно уметь пользоваться соответствующим инструментом. Я про views в bind'е. При запросах "снаружи" зона пустая. Ну т.е. там как раз только челенджи.
	Ответить | Правка | К родителю #61 | Наверх | Cообщить модератору

	53. "Новая версия nginx 1.29.1. Представлен модуль ngx_http_acme"	+/–
	Сообщение от Аноним (53), 14-Авг-25, 18:18
	>как ты себе представляешь dns-01 в веб-сервере? Я другой аноним, но отвечу на вопрос. Представляю его: - либо [через встроенный DNS-сервер](https://angie.software/angie/docs/configuration/acme/#angie-...), - либо через [хук](https://angie.software/angie/docs/configuration/modules/http...), например, к acme.sh - либо через [обращение по API к DNS-провайдеру](https://doc.traefik.io/traefik/https/acme/#providers)
	Ответить | Правка | К родителю #20 | Наверх | Cообщить модератору

	59. "Новая версия nginx 1.29.1. Представлен модуль ngx_http_acme"	+1 +/–
	Сообщение от пох. (?), 14-Авг-25, 20:59
	то есть надо "встраивать" в веб-сервер еще целый dns сервер и обеспечивать ему открытую дверь во весь интернет? Со всем набором адских днсных проблем. (причем рецепт от agnie, как я подозреваю, кривой. В in ns работает то же ограничение что и в in a - я об этом упоминал в исходном сообщении, что это факап авторов нескучного акме) acme.sh тебе проще по крону запустить без ненужных хуков - и с гарантией что запустится acme.sh а не подсунутое васяном троянское нечто. > либо через [обращение по API к DNS-провайдеру] то есть мы даем вебсерверку доступ к нашему dns. Здорово, что может пойти не так?
	Ответить | Правка | Наверх | Cообщить модератору

	67. "Новая версия nginx 1.29.1. Представлен модуль ngx_http_acme"	+/–
	Сообщение от Аноним (30), 14-Авг-25, 21:39
	> то есть мы даем вебсерверку доступ к нашему dns. Здорово, что может пойти не так? если собственный нейм сервер (отдельный) с одной зоной, то разницы нет ломанули веб сервер или днс сервер (условно, банальный сайт), так что доступ еще можно дать.
	Ответить | Правка | Наверх | Cообщить модератору

	84. "Новая версия nginx 1.29.1. Представлен модуль ngx_http_acme"	+/–
	Сообщение от Аноним (-), 15-Авг-25, 13:03
	> то есть надо "встраивать" в веб-сервер еще целый dns сервер и обеспечивать > ему открытую дверь во весь интернет? Ну так пожелаем сэру плавать - на корабле без переборок, не одевать каску, забить на цепляние страховки, нахрен аварийные тормоза в лифтах - и ни в коем случае не использовать запасной парашют. Ведь что может пойти не так?! ... > acme.sh тебе проще по крону запустить без ненужных хуков - и с > гарантией что запустится acme.sh а не подсунутое васяном троянское нечто. А сервак как культурно информировать о смене серта? По моим наблюдениям на этой почве дохнет много чего.
	Ответить | Правка | К родителю #59 | Наверх | Cообщить модератору

	87. "Новая версия nginx 1.29.1. Представлен модуль ngx_http_acme"	+/–
	Сообщение от нах. (?), 15-Авг-25, 14:56
	реализация аж днс встроенная в вебпроксилку - это и есть корабль без переборок. А если вместо этого в ней нескучный интерфейс к основному днс - то переборка есть но двери не закрываются. А у меня все хорошо - сервер отдельно, днс совершенно отдельно. Вообще другим кораблем доставляется. Вот система шифрованной связи сведена стараниями засланных казачков из летшиткрипта к -ю, но там крайне редко и имело смысл чего-то шифровать, поэтому и так сойдет. > А сервак как культурно информировать о смене серта? а зачем? nginx плохо обрабатывает эту смену. Поэтому тест, необязательно на самом сервере, что шиткрипта вернула сертификат а не ойпаламалася, и kill ему. (и да, отдельно интересно было бы поковырять чего там в модном модуле на безопастнейшем йезычке на эту тему - и тестов, и плавного завершения кэшированных сессий. Но на самом деле - нет. Ничего об этом знать не хочу. Но для большинства однодневок и лэндингов с редиректиком оно и не надо, а такого в сто раз больше чем полноценных.)
	Ответить | Правка | Наверх | Cообщить модератору

	74. "Новая версия nginx 1.29.1. Представлен модуль ngx_http_acme"	+/–
	Сообщение от Аноним (74), 15-Авг-25, 05:04
	dns-челлендж есть в российском форке Angie, с которого собственно и содран этот модуль. Причем там он написан на Си, как и все остальные.
	Ответить | Правка | К родителю #17 | Наверх | Cообщить модератору

	77. "Новая версия nginx 1.29.1. Представлен модуль ngx_http_acme"	+/–
	Сообщение от freehck (ok), 15-Авг-25, 11:29
	> dns-челлендж есть в российском форке Angie, с которого собственно и содран этот > модуль. Причем там он написан на Си, как и все остальные. Посмотрел, спасибо. Имплементация выглядит весьма разумно и безопасно. Единственный момент, который интересен: вот у certbot-а и cert-manager-а есть целый набор плагинов для управления DNS-ами через апишки популярных DNS-провайдеров. Для Angie уже есть готовые, или нужно самостоятельно их писать? Upd: А Angie пилят серьёзные ребята, которые смотрят в будущее. Они даже ingress-контроллер запилили, смотрите-ка [1]. Жаль только, что: > Программный продукт распространяется на условиях коммерческой лицензии. > Информацию о стоимости программного продукта, условиях его приобретения > и лицензионное соглашение можно получить, написав нам на адрес > электронной почты: info@wbsrv.ru. [1] https://angie.software/anic/
	Ответить | Правка | Наверх | Cообщить модератору

	88. "Новая версия nginx 1.29.1. Представлен модуль ngx_http_acme"	+/–
	Сообщение от Вездеход (?), 15-Авг-25, 15:10
	>целый набор плагинов для управления DNS-ами через апишки популярных DNS-провайдеров. >Для Agnie уже есть готовые, или нужно самостоятельно их писать Готовых нет, их надо писать или адаптировать от того же acme.sh. А потом прикручивать к серверу (например, без дополнительного сервера через cgi или njs), что может оказаться сложнее написания.
	Ответить | Правка | Наверх | Cообщить модератору

85. "Новая версия nginx 1.29.1. Представлен модуль ngx_http_acme"	+/–
Сообщение от abu (?), 15-Авг-25, 14:22
Как по мне - acme.sh и так неплох, да и достаточно прост, что с DNS, что без. А, например, при юзании т.н. =DNS API integration=, тот же Яндекс, лет пять-семь назад, эту самую интеграцию поддерживал плохо (в ТП им писал, соглашались, потом поправили, но ждать пришлось достаточно долго). Безотносительно модулей и прочего. И как бы что? (: Все это - самодостаточная вещь, требующая отдельного, не комбайнёрского, подхода. С другой стороны - её никто не мешает настраивать что через модуль nginx, что без него. Стало быть - пусть будет.
Ответить | Правка | Наверх | Cообщить модератору

	101. "Новая версия nginx 1.29.1. Представлен модуль ngx_http_acme"	+/–
	Сообщение от anonymous (??), 18-Авг-25, 08:52
	После выявленного RCE в acme.sh (https://github.com/acmesh-official/acme.sh/issues/4659) предпочитаю не использовать его в новых установках.
	Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема