Новая версия nginx 1.29.1. Представлен модуль ngx_http

Новая версия nginx 1.29.1. Представлен модуль ngx_http_acme

14.08.2025 08:24

Опубликован выпуск основной ветки nginx 1.29.1, в которой продолжается развитие новых возможностей. В параллельно поддерживаемую стабильную ветку 1.28.x вносятся только изменения, связанные с устранением серьёзных ошибок и уязвимостей. В дальнейшем на базе основной ветки 1.29.x будет сформирована стабильная ветка 1.30. Код проекта написан на языке Си и распространяется под лицензией BSD.

В новом выпуске:

Устранена уязвимость (CVE-2025-53859) в модуле ngx_mail_smtp_module, приводящая к чтению данных из области памяти вне буфера при обработке специально оформленных значений логина и пароля при использовании метода аутентификации "none". Уязвимость может привести к утечке содержимого памяти рабочего процесса nginx в HTTP-запросе к внешнему серверу аутентификации. Патч.
По умолчанию отключено сжатие сертификатов TLSv1.3.
Добавлена директива "ssl_certificate_compression" для управления сжатием TLS-сертификатов.
В реализацию протокола QUIC добавлена поддержка режима 0-RTT, доступная на системах с OpenSSL 3.5.1 и более новыми выпусками.
Устранена ошибка, приводившая к буферизации HTTP-ответа 103 при использовании HTTP/2 и директивы "early_hints".
Устранена ошибка в обработчике параметра "none" в директиве "smtp_auth".
В реализации HTTP/3 решена проблема с обработкой номера порта в заголовке "Host".
Устранена проблема, проявлявшаяся при использовании одинаковых значений в заголовках "Host" и ":authority" при использовании HTTP/2.
Налажена сборка в NetBSD 10.0.

Отдельно компания F5 представила предварительный выпуск модуля ngx_http_acme, предоставляющего возможности для автоматизации запроса, получения и обновления сертификатов с использованием протокола ACMEv2 (Automatic Certificate Management Environment), применяемого удостоверяющим центром Let’s Encrypt. При использовании http_acme администраторам не нужно заботиться об обновлении сертификатов, на основе параметров в конфигурации модуль сам получит необходимые сертификаты в Let’s Encrypt или другом сервисе, поддерживающем протокол ACME. Код модуля написан на языке Rust с использованием SDK NGINX-Rust.


   acme_issuer letsencrypt { 
       uri         https://acme-v02.api.letsencrypt.org/directory; 
       state_path  /var/cache/nginx/acme-letsencrypt; 
       accept_terms_of_service; 
   }
   server { 
       listen 80; # ACME HTTP-01 challenge
       location / { 
          return 404; 
       }  
   }

   server { 
       listen 443 ssl; 
       server_name  .example.com; 
       acme_certificate letsencrypt; 
       ssl_certificate       $acme_certificate; 
       ssl_certificate_key   $acme_certificate_key; 
       ssl_certificate_cache max=2; 
   }

исправить +13 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/63725-nginx

Ключевые слова: nginx, acme

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (78)

1.1, Аноним (1), 08:45, 14/08/2025 [ответить] [﹢﹢﹢] [ · · · ]	–10 +/–
> автоматизации запроса, получения и обновления сертификатов Уже слишком поздно. В современных серверах такой функционал был годами, и вряд ли щас все кинутся обратно в нгинкс, лишь потому что он наконец проявил какие-то редкие признаки современности. Нгинкс всё.

2.2, анон (?), 08:48, 14/08/2025 [^] [^^] [^^^] [ответить]	–8 +/–
А какие есть плюсы у nginx в настоящее время? Раньше-то понятно, если сравнивать с апачем

3.4, Аноним (4), 09:00, 14/08/2025 [^] [^^] [^^^] [ответить]	–4 +/–
Плюсы у nginx сейчас такие же, как и раньше: тянет тысячи и тысячи запросов в секунду, при этом PHP не падает, а вот на apache очень даже падает. Делал высоканагруженные приложения на PHP и мне еще ни разу удалось нормально завести свою разработку на apche, а вот на nginx все без проблем работает, т. е. это все личный опыт. P. S. И вот не надо мне тут, что я не умею настраивать apche, все я умею, в свое время все конфиги и все нюансы изучил пытаясь подкрутить его.

4.7, Tron is Whistling (?), 09:15, 14/08/2025 [^] [^^] [^^^] [ответить]	+8 +/–
У нгинха внезапно нет php, есть только интерфейс к fpm. На апаче тоже можно mpm_event завести и дальше mod_proxy к fpm, в итоге будет не сильно нагруженнее нгинха. И да, ты действительно не умеешь крутить апач.

5.12, Аноним (12), 09:49, 14/08/2025 [^] [^^] [^^^] [ответить]	+/–
Почему, есть, называется nginx unit, только это совсем другой продукт. Кстати довольно неплохой.

6.86, rshadow (ok), 14:29, 15/08/2025 [^] [^^] [^^^] [ответить]	–1 +/–
Диалог "байки из склепа" какой-то. Там уже каждый язык напилил себе миллион http серверов и прокладок. Запускать что-то на nginx и апаче это моветон какой-то из начала 2000-х. Ngxin все еще используется как l7 балансер, но кажется конкурентов у него уже много. Особенно в свете любителей облаков, докеров и всяких k8s.

5.78, Аноним (-), 12:45, 15/08/2025 [^] [^^] [^^^] [ответить]

–2 +/–

> У нгинха внезапно нет php, есть только интерфейс к fpm. На апаче
> тоже можно mpm_event завести и дальше mod_proxy к fpm, в итоге
> будет не сильно нагруженнее нгинха.
> И да, ты действительно не умеешь крутить апач.

Потому что чем проще и логичнее решается задача - тем лучше. То что из д@рьма можно путем долгих преобразований сделать отдаленное подобие конфетки - не делает его другой субстанцией.

А нжинкс сразу работает как надо и не делает мозг. За что его и любят.

6.96, Tron is Whistling (?), 22:03, 16/08/2025 [^] [^^] [^^^] [ответить]	–1 +/–
Там не надо никаких долгих преобразований. Повторюсь: ты просто не умеешь его готовить. А вот заставить nginx в .htaccess, чтобы по каждому чиху конфиг не править и демон не дёргать - это уже отдельная тема.

7.100, Аноним (100), 21:43, 17/08/2025 [^] [^^] [^^^] [ответить]	+/–
> А вот заставить nginx в .htaccess, чтобы по каждому чиху конфиг не править и демон не дёргать - это уже отдельная тема. Я бы ещё понял, если бы тебе какая-то уникальная функциональность нужна была. Но если проблема реально уровня «конфиг не править и демон не дёргать» — это какой-то лол. В чём проблема отредактировать конфиг и где принципиальная разница с редактированием .htaccess? Про такую простую вещь как атомарная перезагрузка конфига по сигналу или обновлению файла даже упоминать грешно, это релизовано сто лет назад для любой комбинации ОС/ЯП где это в принципе возможно. Ты либо что-то не договариваешь, либо у тебя там цирк с ручным управлением серверами в духе старой школы девяностых, логин юзером через судо в рута, и забытые в 99м Сан Санычем сессии screen с vi.

6.97, Tron is Whistling (?), 22:07, 16/08/2025 [^] [^^] [^^^] [ответить]

+/–

Чисто прокси-специфичный конфиг на FPM для примера к базовой конфигурации:
И ффсё. Сложнее по вкусу.

---

DirectoryIndex index.php

ProxyTimeout 900

<FilesMatch \.php$>
SetHandler "proxy:fcgi://php-fpm-app/"
</FilesMatch>

4.15, User (??), 10:24, 14/08/2025 [^] [^^] [^^^] [ответить]	–4 +/–
Нафига тебе тысячи и тысячи запросов index.html с диска? Или ты про robots.txt?

4.32, Аноним (32), 13:13, 14/08/2025 [^] [^^] [^^^] [ответить]	+1 +/–
https://www.netcraft.com/blog/july-2025-web-server-survey

5.40, Tron is Whistling (?), 14:48, 14/08/2025 [^] [^^] [^^^] [ответить]	+/–
Судя по тому, как там отхер растёт, статистика уже не отражает действительности, те же апачи и т.п. просто не афишируют себя или находятся за балансерами, скрывающими инфру.

6.64, пох. (?), 21:23, 14/08/2025 [^] [^^] [^^^] [ответить]

+/–

> Судя по тому, как там отхер растёт, статистика уже не отражает действительности,
> те же апачи и т.п. просто не афишируют себя или находятся
> за балансерами, скрывающими инфру.

это ты щас про к@лофайр или кого импортозамещенного?

А то балансеры в виде модных молодежных аплайансов обычно хороши корпоративную хрень какую прятать. А под нагрузкой их самих прятать приходится, а то вот... лопнуло и забрызгало меня и товарищей прессу.

Ну и зачем нам кузнец в таком раскладе - тоже не очень понятно. Нода жеес сама себе хетететепе 2.0 модный сервер. Ну с некоторыми недостатками, но за тремя слоями прокси их видно не будет. Т.е. вполне можешь учесть то что торчит таки наружу (не ноду же ж считать) именно вебсервером. отхeр так отхeр...

6.79, Аноним (-), 12:48, 15/08/2025 [^] [^^] [^^^] [ответить]	–4 +/–
> Судя по тому, как там отхер растёт, статистика уже не отражает действительности, > те же апачи и т.п. просто не афишируют себя или находятся > за балансерами, скрывающими инфру. Проблема апача как раз в том что сам по себе нормально работать - и сразу - это как раз не про него. За это он и пролюбливает рынок. Утюг энтерпрайзный. Умеет летать - но недолго и почти отвесно вниз.

4.52, Zeke Fast (?), 18:06, 14/08/2025 [^] [^^] [^^^] [ответить]	–4 +/–
PHP и высоконагруженное приложение уже смешно звучит! :) 2006-2010 ещё прошло бы, но не в 2025!

5.57, Аноним (-), 19:38, 14/08/2025 [^] [^^] [^^^] [ответить]	+/–
что смешного? такто сейчас бэк нередко на питонах всяких вообще а он на порядок медленней современного php

5.76, Аноним (76), 10:31, 15/08/2025 [^] [^^] [^^^] [ответить]	+3 +/–
При всей моей нелюбви к php, он сильно быстрее питона, на котором сейчас пишут все бекенды. Так что если тебе не смешно от словосочетания "Python и высоконагруженное приложение в 2025", то хз что тебя насмешило в php.

6.80, Аноним (-), 12:51, 15/08/2025 [^] [^^] [^^^] [ответить]	–1 +/–
> При всей моей нелюбви к php, он сильно быстрее питона, на котором > сейчас пишут все бекенды. Так что если тебе не смешно от > словосочетания "Python и высоконагруженное приложение в 2025", то хз что тебя > насмешило в php. Если вы не заметили - питона нынче из веба везде выставляет Go. Изначально с подачи гугдя, но ... почему-то все знакомые PHPшники на него перешли.

7.98, GG (ok), 04:29, 17/08/2025 [^] [^^] [^^^] [ответить]	+/–
Не заметили. На питоне инструментов много всяких. На го ничерта готового нет (то что есть — в 90% заброшено и дисфункционально), всё сам коди. И при этом питон дёргает си-модули быстрее всех на свете. И позволяет писать аккуратно, а программисты всё ещё стоят дороже компьютеров.

5.93, Jh (?), 18:56, 15/08/2025 [^] [^^] [^^^] [ответить]	+/–
Хайлоад можно сделать из всего, главное серверов побольше подключить)

3.14, User (??), 10:23, 14/08/2025 [^] [^^] [^^^] [ответить]	+/–
Нуээээ... некоторые админы (думают, что) его знают.

3.49, freehck (ok), 17:01, 14/08/2025 [^] [^^] [^^^] [ответить]	+/–
> А какие есть плюсы у nginx в настоящее время? Я бы сказал так: какие бы плюсы ни были у альтернативных решений, им всем сопутствует потеря производительности на 20-40% относительно nginx.

3.81, Аноним (-), 12:54, 15/08/2025 [^] [^^] [^^^] [ответить]	+/–
> А какие есть плюсы у nginx в настоящее время? Раньше-то понятно, если > сравнивать с апачем Они и сейчас - остались. Конечно есть еще более специализированные ultra-performance штуки, которые и нжинксу мастеркласс дадут. Но они нишевые и либо спецом под занятие призовых мест в бенчах, либо просто странноватые зверушки под задачи. Их общий набор фич куда меньше.

2.18, Аноним (18), 11:14, 14/08/2025 [^] [^^] [^^^] [ответить]	+2 +/–
>Нгинкс всё. Ты сказал?

2.19, Cyd (?), 11:31, 14/08/2025 [^] [^^] [^^^] [ответить]	+/–
а чем, кстати, в этом сезоне модно раздавать статику и дергать бэкенды?

3.21, пох. (?), 11:34, 14/08/2025 [^] [^^] [^^^] [ответить]	+4 +/–
в этом сезоне немодно статику. Жизненно необходимо favicon.ico хранить в amazon s3!

4.23, 12yoexpert (ok), 11:46, 14/08/2025 [^] [^^] [^^^] [ответить]	+1 +/–
на этой неделе прячут за клаудфларью

4.46, Аноним (100), 16:29, 14/08/2025 [^] [^^] [^^^] [ответить]	–2 +/–
А где ж ещё его хранить? На железном сервере с линуксом и сабжем? Ух, сейчас бы статические ресурсы не через cdn раздавать. Вам что, реально так нравится сервера админить?

3.50, freehck (ok), 17:10, 14/08/2025 [^] [^^] [^^^] [ответить]	+/–
> а чем, кстати, в этом сезоне модно раздавать статику и дергать бэкенды? Астрологи объявили неделю моды на раздачу статики через NodeJS: NodeJS -- даёшь по ядру на каждые 10 rps!

4.82, Аноним (-), 12:56, 15/08/2025 [^] [^^] [^^^] [ответить]	+/–
>> а чем, кстати, в этом сезоне модно раздавать статику и дергать бэкенды? > Астрологи объявили неделю моды на раздачу статики через NodeJS: > NodeJS -- даёшь по ядру на каждые 10 rps! В принципе на топовом EPYC с 192 ядрами даже не так уж позорно будет. То что нжинкс с этого зальет весь глобус в одиночку - вопрос номер два :)

2.34, bergentroll (ok), 13:19, 14/08/2025 [^] [^^] [^^^] [ответить]	+1 +/–
Современные сервера́ — это какие?

1.16, пох. (?), 11:05, 14/08/2025 Скрыто ботом-модератором [﹢﹢﹢] [ · · · ] [к модератору]	+1 +/–

1.17, freehck (ok), 11:08, 14/08/2025 [ответить] [﹢﹢﹢] [ · · · ]	+/–
> предварительный выпуск модуля ngx_http_acme это конечно всё очень интересно, но во-первых там всего лишь http-челлендж поддерживается, а dns-челлендж в большинстве случаев куда удобнее, а во-вторых, как они себе представляют дальнейшее добавление dns-челленджей без ущерба безопасности nginx-а? Всё-таки подобные вещи лучше держать за пределами веб-сервера.

2.20, пох. (?), 11:33, 14/08/2025 [^] [^^] [^^^] [ответить]

+2 +/–

как ты себе представляешь dns-01 в веб-сервере?

> а dns-челлендж в большинстве случаев куда удобнее

в большинстве случаев он совершенно излишен.

Необходимо и достаточно для 99% сайтов-однодневок автоматически получить совершенно им ненужный сертификат и так же автоматически его обновить через пол-дня согласно новым улучшенным требованиям. И всьо.

А для обработки платежей неплохо бы хранить ключи не в /tmp с правами 666, для начала. И может быть даже, о ужас, зашифрованными и с ручной разблокировкой. Хотя, конечно, на самом деле все равно свалят в /tmp и сделают "ЧМОД" а потом еще в гитляп и шитхап закомитят для надежности. А тогда нафига было стараться и с основным сайтом-то?

3.22, Аноним (22), 11:46, 14/08/2025 [^] [^^] [^^^] [ответить]	–1 +/–
dns-01 в веб-сервере можно сделать, дергая API dns-сервера (ограничившись dns-серверами, где API есть). Тут бы вполне пригодился njs, чтобы не писать плагины на C/Rust под каждый API.

4.28, пох. (?), 12:27, 14/08/2025 [^] [^^] [^^^] [ответить]	+1 +/–
если у тебя есть доступ к этому апи у веб-мордочки - у тебя уже все плохо.

5.30, Аноним (30), 13:12, 14/08/2025 [^] [^^] [^^^] [ответить]	+/–
многие думают, что апи существует для того, чтобы дергать его из любого места :)

6.33, пох. (?), 13:13, 14/08/2025 [^] [^^] [^^^] [ответить]

+/–

> многие думают, что апи существует для того, чтобы дергать его из любого
> места :)

оно потом _оказывается_ что так и есть ;-)

7.35, Аноним (30), 14:16, 14/08/2025 [^] [^^] [^^^] [ответить]	+/–
> оно потом _оказывается_ что так и есть ;-) для публичных апи может и быть, менеджмент апи - нет, сугубо приватное (изолированное от несанкционированного доступа).

8.83, Аноним (-), 12:57, 15/08/2025 [^] [^^] [^^^] [ответить]	+/–
Ну так аэрофлота вон тебе и поменеджили немного Если нечто сугубо приватное... текст свёрнут, показать

5.39, Tron is Whistling (?), 14:46, 14/08/2025 [^] [^^] [^^^] [ответить]	+/–
А там не надо доступ к апи у веб-мордочки. Там надо доступ у основного процесса мордочки, юзеры в него не смотрят. Ну и даже если проломится до рута - а чего оно кроме единственного TXT подёргает-то... Мне больше нравится само наличие ключей от ACME в контексте вёб-мордочки, поэтому я эти механизмы не использую вообще, генерацией сертификатов занимается совершенно отдельный сервис, который как раз DNS может подёргать, и уже потом их апдейтит в вебню.

6.42, Аноним (30), 14:52, 14/08/2025 [^] [^^] [^^^] [ответить]	+1 +/–
> занимается совершенно отдельный сервис разделение труда :) эй нджинкс, завари ка чаю

5.60, Аноним (60), 21:04, 14/08/2025 [^] [^^] [^^^] [ответить]	+/–
есть такая штука, как разные права доступа для разных api keys

3.25, Tron is Whistling (?), 11:53, 14/08/2025 [^] [^^] [^^^] [ответить]	+/–
> как ты себе представляешь dns-01 в веб-сервере? Да элементарно, можно таки dynamic update подёргать. Тот же вайлдкард без dns-01 не выпихать.

4.27, пох. (?), 12:27, 14/08/2025 [^] [^^] [^^^] [ответить]

+/–

> Да элементарно, можно таки dynamic update подёргать.

я бы предпочел чтобы веб-сервер таки не имел доступа ни к каким dynamic updates. И вот особенно - основного домена самого веб-сервера (авторам идеи надо было бы кол в бошку вбить за то что они не додумались выделить субдомен для своих игрищ и еще и запихали запрещенный символ в имя записи)

> Тот же вайлдкард без dns-01 не выпихать.

тот же вайлдкард низачем и не нужен при автоматизированном получении стольких сертификатов сколько душа жаждет.
Он был нужен прежде всего чтобы сэкономить усилия (и еще немножечко вредить). А машина - она железная.

5.37, Tron is Whistling (?), 14:43, 14/08/2025 [^] [^^] [^^^] [ответить]

+/–

Ды ладно, why not. Разрешить вот конкретный _acme_challenge TXT подёргать - невелика беда. Тем более, что это не в контексте пользователя в том же апаче будет дёргаться, а в контексте основного процесса.

> тот же вайлдкард низачем и не нужен при автоматизированном получении стольких сертификатов

Сейчас если лучшая идиотская идея в виде срока жизни в 30 дней пройдёт - уже будет нужен...

6.38, Tron is Whistling (?), 14:44, 14/08/2025 [^] [^^] [^^^] [ответить]	+/–
// в менее 30 дней

6.63, пох. (?), 21:13, 14/08/2025 [^] [^^] [^^^] [ответить]

+/–

> Ды ладно, why not. Разрешить вот конкретный _acme_challenge TXT подёргать

А потом выяснится что где-то ошипка...
Или подергать могут что-то не то, или подергать может не тот, или оба сразу.

> Сейчас если лучшая идиотская идея в виде срока жизни в 30 дней
> пройдёт - уже будет нужен...

наоборот, поскольку придется отказываться от неавтоматических обновлений и надежных ключей - низачем станет не нужен. Раз уж оно все внутри и под контролем самого веб-сервера - то пусть на каждый домен получает, включая никому ненужные редиректилки ru.www.com -> www.com/ru
Инфры этих троянских коней совсем ведь не жаль.

5.41, Аноним (30), 14:50, 14/08/2025 [^] [^^] [^^^] [ответить]	+/–
> я бы предпочел чтобы я помню времена когда бинд (нейм сервер) и апач на одном сервере крутились :)))))

6.62, пох. (?), 21:08, 14/08/2025 [^] [^^] [^^^] [ответить]

+/–

>> я бы предпочел чтобы
> я помню времена когда бинд (нейм сервер) и апач на одном сервере
> крутились :)))))

только вот крутились они так что доступов у одного к другому не было.

(они и сейчас там у тебя крутятся, только под капотом модных-современных-кластерных-контейнерных тяп-ляпнологий ты об этом узнаешь когда-нибудь после)

7.66, Аноним (30), 21:34, 14/08/2025 [^] [^^] [^^^] [ответить]	+/–
> ты об этом узнаешь когда-нибудь после чур меня чур, не дожить бы до этого дня

5.44, freehck (ok), 15:38, 14/08/2025 [^] [^^] [^^^] [ответить]	+3 +/–
> тот же вайлдкард низачем и не нужен при автоматизированном получении стольких сертификатов сколько душа жаждет Ровно до тех пор, пока ты не захочешь, чтобы домен не светился в логах Certificate Transparency.

5.48, penetrator (?), 16:53, 14/08/2025 [^] [^^] [^^^] [ответить]	+/–
да да вайлдкард не нужен, зато теперь нужен SNI усилия, бугага

6.69, пох. (?), 00:58, 15/08/2025 [^] [^^] [^^^] [ответить]	+/–
> да да вайлдкард не нужен, зато теперь нужен SNI так он в любом случае теперь нужен

7.73, penetrator (?), 04:07, 15/08/2025 [^] [^^] [^^^] [ответить]	+/–
>> да да вайлдкард не нужен, зато теперь нужен SNI > так он в любом случае теперь нужен нахрена он сдался

6.89, Аноним (60), 15:39, 15/08/2025 [^] [^^] [^^^] [ответить]	+/–
А чем он мешает-то? В IE 6 не работает?

3.45, freehck (ok), 16:05, 14/08/2025 [^] [^^] [^^^] [ответить]

+1 +/–

>> а dns-челлендж в большинстве случаев куда удобнее
> в большинстве случаев он совершенно излишен...

...там, где работает полтора землекопа.

А что, если у тебя домен для приватной сети, и торчать в мир он в принципе не должен?
А что, если ты хочешь выставить в мир домен, но ты не хочешь, чтобы мир об этом домене узнал?
А что, если тебе нужно выписать сертификат в kubernetes, ingress-контроллер которого находится за балансером с proxy-protocol-ом? (см. [1])

Чтобы не страдать в описанных выше случаях -- возьмите себе на вооружение сразу и для всего использовать DNS-01.

[1] https://github.com/compumike/hairpin-proxy?tab=readme-ov-file#the-problem

4.61, пох. (?), 21:05, 14/08/2025 [^] [^^] [^^^] [ответить]

+/–

>>> а dns-челлендж в большинстве случаев куда удобнее
>> в большинстве случаев он совершенно излишен...
> ...там, где работает полтора землекопа.
> А что, если у тебя домен для приватной сети, и торчать в
> мир он в принципе не должен?

а днс для этой приватной сети мы гордо выснуем в мир, что может пойти не так, действительно? (и зачем такому домену сертификаты летшиткрипта? У таких сетей есть обычно свои pki, может даже не одна. Там еще и сертификаты на приватные ip адреса иногда нужны.)

> А что, если ты хочешь выставить в мир домен, но ты не
> хочешь, чтобы мир об этом домене узнал?

и тут такой dns-сервачок встроенный прям в вебмордочку...

> Чтобы не страдать в описанных выше случаях -- возьмите себе на вооружение
> сразу и для всего использовать DNS-01.

нет, спасибо. Я как раз категорически воздержусь от его использования где бы то ни было.
acme дыряв бай дизайн в ста местах, но ЭТО делает его еще в разы дырявее.

В тех случаях (редких, и тебе не понравится для чего) где мне нужен wildcard, он будет коммерческий, благо пока доступен, и, к счастью, пока его не надо обновлять раз в три дня.

5.65, freehck (ok), 21:25, 14/08/2025 [^] [^^] [^^^] [ответить]	+/–
Какой-то сервачок в вебмордочку поставить, собственный PKI намутить, ACME оказывается дыряв... Не, чур меня с этим спорить.

5.68, Аноним (60), 00:38, 15/08/2025 [^] [^^] [^^^] [ответить]	+/–
ну, в том редком случае (публичный хостинг) я написал на golang сервис, который через внутреннее апи powerdns-а кроме как этот самый acme challenge TXT менять, ничего и не умеет, и его и дергал из... кажется, это был acme.sh по большому счету, оба способа кривые (для dns-01 можно было бы какой-нибудь _acme делегировать на отдельные нсы, а http-01 это вечные проблемы курица vs яйцо), но лучше так, чем ручками ходить платить за сертифицированный воздух

6.70, пох. (?), 01:00, 15/08/2025 [^] [^^] [^^^] [ответить]

+/–

> ну, в том редком случае (публичный хостинг) я написал на golang сервис,
> который через внутреннее апи powerdns-а кроме как этот самый acme challenge

ну да, он же у тебя никак не был связан с веб-сервером. А тут прямо в код сервера пихают и считают что так и нада.

> по большому счету, оба способа кривые

увы.

7.90, Аноним (60), 17:40, 15/08/2025 [^] [^^] [^^^] [ответить]	+/–
да даже если бы его дергал веб-сервер, ничего страшного бы не случилось

8.92, Аноним (30), 18:30, 15/08/2025 [^] [^^] [^^^] [ответить]	+/–
конечно, только в том случае если днс сервер отвечал только за одну зону, и тут ... текст свёрнут, показать

5.75, Moomintroll (ok), 10:15, 15/08/2025 [^] [^^] [^^^] [ответить]	–1 +/–
> а днс для этой приватной сети мы гордо выснуем в мир, что может пойти не так, действительно? Выставлял, ничего не случилось. Просто нужно уметь пользоваться соответствующим инструментом. Я про views в bind'е. При запросах "снаружи" зона пустая. Ну т.е. там как раз только челенджи.

3.53, Аноним (53), 18:18, 14/08/2025 [^] [^^] [^^^] [ответить]

+/–

>как ты себе представляешь dns-01 в веб-сервере?

Я другой аноним, но отвечу на вопрос.

Представляю его:
- либо [через встроенный DNS-сервер](https://angie.software/angie/docs/configuration/acme/#angie-acme-config-dns),
- либо через [хук](https://angie.software/angie/docs/configuration/modules/http/http_acme/#angie-), например, к acme.sh
- либо через [обращение по API к DNS-провайдеру](https://doc.traefik.io/traefik/https/acme/#providers)

4.59, пох. (?), 20:59, 14/08/2025 [^] [^^] [^^^] [ответить]	+1 +/–
то есть надо "встраивать" в веб-сервер еще целый dns сервер и обеспечивать ему открытую дверь во весь интернет? Со всем набором адских днсных проблем. (причем рецепт от agnie, как я подозреваю, кривой. В in ns работает то же ограничение что и в in a - я об этом упоминал в исходном сообщении, что это факап авторов нескучного акме) acme.sh тебе проще по крону запустить без ненужных хуков - и с гарантией что запустится acme.sh а не подсунутое васяном троянское нечто. > либо через [обращение по API к DNS-провайдеру] то есть мы даем вебсерверку доступ к нашему dns. Здорово, что может пойти не так?

5.67, Аноним (30), 21:39, 14/08/2025 [^] [^^] [^^^] [ответить]	+/–
> то есть мы даем вебсерверку доступ к нашему dns. Здорово, что может пойти не так? если собственный нейм сервер (отдельный) с одной зоной, то разницы нет ломанули веб сервер или днс сервер (условно, банальный сайт), так что доступ еще можно дать.

5.84, Аноним (-), 13:03, 15/08/2025 [^] [^^] [^^^] [ответить]

+/–

> то есть надо "встраивать" в веб-сервер еще целый dns сервер и обеспечивать
> ему открытую дверь во весь интернет?

Ну так пожелаем сэру плавать - на корабле без переборок, не одевать каску, забить на цепляние страховки, нахрен аварийные тормоза в лифтах - и ни в коем случае не использовать запасной парашют. Ведь что может пойти не так?!

...
> acme.sh тебе проще по крону запустить без ненужных хуков - и с
> гарантией что запустится acme.sh а не подсунутое васяном троянское нечто.

А сервак как культурно информировать о смене серта? По моим наблюдениям на этой почве дохнет много чего.

6.87, нах. (?), 14:56, 15/08/2025 [^] [^^] [^^^] [ответить]

+/–

реализация аж днс встроенная в вебпроксилку - это и есть корабль без переборок.
А если вместо этого в ней нескучный интерфейс к основному днс - то переборка есть но двери не закрываются.

А у меня все хорошо - сервер отдельно, днс совершенно отдельно. Вообще другим кораблем доставляется. Вот система шифрованной связи сведена стараниями засланных казачков из летшиткрипта к -ю, но там крайне редко и имело смысл чего-то шифровать, поэтому и так сойдет.

> А сервак как культурно информировать о смене серта?

а зачем? nginx плохо обрабатывает эту смену. Поэтому тест, необязательно на самом сервере, что шиткрипта вернула сертификат а не ойпаламалася, и kill ему.

(и да, отдельно интересно было бы поковырять чего там в модном модуле на безопастнейшем йезычке на эту тему - и тестов, и плавного завершения кэшированных сессий. Но на самом деле - нет. Ничего об этом знать не хочу. Но для большинства однодневок и лэндингов с редиректиком оно и не надо, а такого в сто раз больше чем полноценных.)

2.74, Аноним (74), 05:04, 15/08/2025 [^] [^^] [^^^] [ответить]	+/–
dns-челлендж есть в российском форке Angie, с которого собственно и содран этот модуль. Причем там он написан на Си, как и все остальные.

3.77, freehck (ok), 11:29, 15/08/2025 [^] [^^] [^^^] [ответить]

+/–

> dns-челлендж есть в российском форке Angie, с которого собственно и содран этот
> модуль. Причем там он написан на Си, как и все остальные.

Посмотрел, спасибо. Имплементация выглядит весьма разумно и безопасно. Единственный момент, который интересен: вот у certbot-а и cert-manager-а есть целый набор плагинов для управления DNS-ами через апишки популярных DNS-провайдеров. Для Angie уже есть готовые, или нужно самостоятельно их писать?

Upd: А Angie пилят серьёзные ребята, которые смотрят в будущее. Они даже ingress-контроллер запилили, смотрите-ка [1]. Жаль только, что:

> Программный продукт распространяется на условиях коммерческой лицензии.
> Информацию о стоимости программного продукта, условиях его приобретения
> и лицензионное соглашение можно получить, написав нам на адрес
> электронной почты: info@wbsrv.ru.

[1] https://angie.software/anic/

4.88, Вездеход (?), 15:10, 15/08/2025 [^] [^^] [^^^] [ответить]	+/–
>целый набор плагинов для управления DNS-ами через апишки популярных DNS-провайдеров. >Для Agnie уже есть готовые, или нужно самостоятельно их писать Готовых нет, их надо писать или адаптировать от того же acme.sh. А потом прикручивать к серверу (например, без дополнительного сервера через cgi или njs), что может оказаться сложнее написания.

1.85, abu (?), 14:22, 15/08/2025 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Как по мне - acme.sh и так неплох, да и достаточно прост, что с DNS, что без. А, например, при юзании т.н. =DNS API integration=, тот же Яндекс, лет пять-семь назад, эту самую интеграцию поддерживал плохо (в ТП им писал, соглашались, потом поправили, но ждать пришлось достаточно долго). Безотносительно модулей и прочего. И как бы что? (: Все это - самодостаточная вещь, требующая отдельного, не комбайнёрского, подхода. С другой стороны - её никто не мешает настраивать что через модуль nginx, что без него. Стало быть - пусть будет.

игнорирование участников | лог модерирования

Добавить комментарий

Текст: