Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Режим отображения отдельной подветви беседы		[ Отслеживать ]

Выпуск nginx 1.19.4, opennews (??), 27-Окт-20, (0) [смотреть все] а чё это они с такой частотой релизов - и до сих пор на свободе , Аноним (5), 01:31 , 28-Окт-20, (5) –6 // https www opennet ru openforum vsluhforumID3 122243 html 9, flkghdfgklh (?), 06:36 , 28-Окт-20, (10) Доколе У nginx есть хоть LTS Что за темп нововведений , Аноним (6), 01:42 , 28-Окт-20, (6) –8 // У nginx есть stable и mainline Stable это 1 x y, где x 8212 четное число Нов, flkghdfgklh (?), 06:33 , 28-Окт-20, (9) +5 конечно есть - nginx называетсо Всего лишь полторы тыщи долларов в год за одно, пох. (?), 13:42 , 28-Окт-20, (24) –3 Нахрена нужен лтс, когда можно новые фичи сразу иметь в проде Просто чтобы имет, Аноним (35), 00:13 , 02-Ноя-20, (35) –1 Service Discovery так и не завезли , Аноним (7), 02:09 , 28-Окт-20, (7) Почему по умолчанию отключён ssl_reject_handshake on , Аноним (8), 02:25 , 28-Окт-20, (8) // Включать по дефолту фичу которая только появилась А ты 8212 оригинал, блин, flkghdfgklh (?), 07:21 , 28-Окт-20, (11) +5 Два года ждал Правда в первую неделю ожидания научился это делать глобально в, Ilya Indigo (ok), 07:25 , 28-Окт-20, (12) –1 // Additionally, the ssl_reject_handshake directive makes configuring certificates , flkghdfgklh (?), 07:34 , 28-Окт-20, (13) +2   // Мне всё равно не понятно зачем web-серверу проксировать postfix с dovecot , Ilya Indigo (ok), 07:56 , 28-Окт-20, (17) –1   // Ну потому что изначально Игорь его создавал не только как веб-сервер Игорь его , flkghdfgklh (?), 08:10 , 28-Окт-20, (19)   Я правильно понимаю что после установки 1 19 4 надо добавить в соотестветствующи, suffix (ok), 10:22 , 28-Окт-20, (20)   Cipher Strength будет в 100, Key Exchange в 90Но, да, это совсем дофига попугаев, flkghdfgklh (?), 11:00 , 28-Окт-20, (21)   Чтобы и Key Exchange 100 стало надо чачу отключить , suffix (ok), 11:08 , 28-Окт-20, (22)   Не исключаю -DНо, вообще, для LE вроде рекомендуют Use 4096-bit RSA or secp256 , flkghdfgklh (?), 11:18 , 28-Окт-20, (23) +1   Что-то не заработало у меня В TLS 1 3 остались по-мимо нужного TLS_AES_256_GCM, suffix (ok), 15:38 , 28-Окт-20, (28)   Вот что у меня на тестовом на котором выходит 100-100-90-100 по ssl у в конфиге , flkghdfgklh (?), 18:04 , 28-Окт-20, (29)   Я сам дурак - у меня вся статика с поддомена а там я конфиг не поменял Сейчас в, suffix (ok), 18:25 , 28-Окт-20, (30)   Ну круто, теперь у нас с тобой попугаев столько, что можно открывать попугайскую, flkghdfgklh (?), 18:29 , 28-Окт-20, (31) +1   Я правильно понял Теперь вместо этого code server listen 443 default_server ht, Ilya Indigo (ok), 07:37 , 28-Окт-20, (14) // Что-то похожее на это, посмотри все же по ссылке Но я бы пока не стал включать , flkghdfgklh (?), 07:46 , 28-Окт-20, (15) +2 // Благодарю, именно так If no certificates are configured in the default server fo, Ilya Indigo (ok), 07:52 , 28-Окт-20, (16) +2 Да не за чтоВообще меня директива заинтересовала, но я подожду 1 19 5 хотя бы и , flkghdfgklh (?), 07:57 , 28-Окт-20, (18) +1 Ох уже мне эти выжидальщики Прогнал тесты и запустил в прод, полёт нормальный , Аноним (35), 01:00 , 29-Окт-20, (33) Ну извини, если у тебя прод это твой сайт, то можно и пускать, а у меня прод это, flkghdfgklh (?), 01:48 , 29-Окт-20, (34) У меня прод это мой бизнес за счёт которого я живу и кормлю семью И конечно же , Аноним (35), 00:22 , 02-Ноя-20, (36) Отказ от новых фич и внедрение в прод фичи которая только что вышла в mainline-в, flkghdfgklh (?), 16:16 , 02-Ноя-20, (38) Вы были правы Проверил сегодня эту опцию По IP отрабатывает как и ожидалось, но, Ilya Indigo (ok), 08:07 , 07-Ноя-20, (39) Ну я просто знаю что такие серьезные вещи всегда имеют какие-то подводные камни , flkghdfgklh (?), 22:32 , 07-Ноя-20, (40) Зачастили как-то релизы nginx-а , Какаянахренразница (ok), 13:59 , 28-Окт-20, (25) +6 // Как будто что-то плохое , anoname (?), 15:34 , 28-Окт-20, (27) +5 Apache наше все, долой клонов индейца , Аноним (6), 14:35 , 28-Окт-20, (26) –4 ssl_reject_handshake это бомба, надо же было им столько времени потратить чтобы , Аноним (35), 01:00 , 29-Окт-20, (32) +2 // Будьте аккуратнее, эта опция ломает TLS1 3 https trac nginx org nginx ticket 2, Аноним (35), 00:42 , 02-Ноя-20, (37) +1 5,6,7,8,12,25,26,32

Сообщения

[Сортировка по времени | RSS]

	13. "Выпуск nginx 1.19.4"	+2 +/–
	Сообщение от flkghdfgklh (?), 28-Окт-20, 07:34
	> Это как? Специально отвергать все рукопожатия чтобы никто не смог вообще зайти по https? Additionally, the ssl_reject_handshake directive makes configuring certificates for the default server block optional.  If no certificates are configured in the default server for a given listening socket, certificates must be defined in all non-default server blocks with the listening socket in question. Это вот так. По ссылке есть все, пройди туда. > Объясните, пожалуйста, это nginx может как sqiud или 3proxy выступать smtp-прокси-сервером? Всегда мог, ну то есть в 0.7.x уже точно мог, может и раньше. И smtp, и imap4, и pop3 https://nginx.org/en/docs/mail/ngx_mail_core_module.html тебе в помощь
	Ответить | Правка | Наверх | Cообщить модератору

	17. "Выпуск nginx 1.19.4"	–1 +/–
	Сообщение от Ilya Indigo (ok), 28-Окт-20, 07:56
	>> Объясните, пожалуйста, это nginx может как sqiud или 3proxy выступать smtp-прокси-сервером? > Всегда мог, ну то есть в 0.7.x уже точно мог, может и > раньше. > И smtp, и imap4, и pop3 > https://nginx.org/en/docs/mail/ngx_mail_core_module.html > тебе в помощь Мне всё равно не понятно зачем web-серверу проксировать postfix с dovecot.
	Ответить | Правка | Наверх | Cообщить модератору

	19. "Выпуск nginx 1.19.4"	+/–
	Сообщение от flkghdfgklh (?), 28-Окт-20, 08:10
	Ну потому что изначально Игорь его создавал не только как веб-сервер. Игорь его писал будучи админом и писал для себя. Ну а теперь выбрасывать из него функциональность mail proxy глупо, люди же могут использовать
	Ответить | Правка | Наверх | Cообщить модератору

	20. "Выпуск nginx 1.19.4"	+/–
	Сообщение от suffix (ok), 28-Окт-20, 10:22
	Я правильно понимаю что после установки 1.19.4 надо добавить в соотестветствующий listen: ssl_conf_command Ciphersuites TLS_CHACHA20_POLY1305_SHA256:TLS_AES_256_GCM_SHA384; ssl_conf_command CipherString ECDHE-RSA-AES256-GCM-SHA384; над ssl_protocols TLSv1.2 TLSv1.3; ssl_ciphers 'TLS_CHACHA20_POLY1305_SHA256:TLS_AES_256_GCM_SHA384:ECDHE-RSA-AES256-GCM-SHA384'; и Key Exchange и Cipher Strength в ssllabs достигнут 100 ?
	Ответить | Правка | Наверх | Cообщить модератору

	21. "Выпуск nginx 1.19.4"	+/–
	Сообщение от flkghdfgklh (?), 28-Окт-20, 11:00
	Cipher Strength будет в 100, Key Exchange в 90 Но, да, это совсем дофига попугаев :)
	Ответить | Правка | Наверх | Cообщить модератору

	22. "Выпуск nginx 1.19.4"	+/–
	Сообщение от suffix (ok), 28-Окт-20, 11:08
	Чтобы и Key Exchange 100 стало надо чачу отключить ?
	Ответить | Правка | Наверх | Cообщить модератору

	23. "Выпуск nginx 1.19.4"	+1 +/–
	Сообщение от flkghdfgklh (?), 28-Окт-20, 11:18
	Не исключаю :-D Но, вообще, для LE вроде рекомендуют Use 4096-bit RSA or secp256 and higher ECC Certificate (This is a must if you want 100% on Key Exchange). Но я для теста попробовал, с 4096, все равно 90.
	Ответить | Правка | Наверх | Cообщить модератору

	28. "Выпуск nginx 1.19.4"	+/–
	Сообщение от suffix (ok), 28-Окт-20, 15:38
	Что-то не заработало у меня :( В TLS 1.3 остались по-мимо нужного TLS_AES_256_GCM_SHA384 и ненужные мне TLS_AES_128_GCM_SHA256 и TLS_CHACHA20_POLY1305_SHA25 при ssl_protocols TLSv1.2 TLSv1.3; ssl_conf_command Ciphersuites TLS_AES_256_GCM_SHA384; ssl_conf_command CipherString ECDHE-RSA-AES256-GCM-SHA384; ssl_ciphers 'TLS_AES_256_GCM_SHA384:ECDHE-RSA-AES256-GCM-SHA384';
	Ответить | Правка | Наверх | Cообщить модератору

	29. "Выпуск nginx 1.19.4"	+/–
	Сообщение от flkghdfgklh (?), 28-Окт-20, 18:04
	Вот что у меня на тестовом на котором выходит 100-100-90-100 по ssl'у в конфиге nginx'а(даю все связанное, что бы ты мог посмотреть на свое и сравнить) ssl_session_timeout 1d; ssl_session_cache shared:SSL:10m; ssl_session_tickets off; ssl_early_data on; ssl_protocols TLSv1.2 TLSv1.3; ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384; ssl_conf_command Ciphersuites TLS_CHACHA20_POLY1305_SHA256:TLS_AES_256_GCM_SHA384; ssl_conf_command CipherString ECDHE-RSA-AES256-GCM-SHA384; ssl_stapling on; ssl_stapling_verify on; resolver 127.0.1.1 valid=60s; А в /etc/letsencrypt/cli.ini у меня rsa-key-size = 4096 было дописано перед тем как перевыпустить сегодня досрочно сертификаты. P.S. Думаю про резолвер пояснять не нужно, если уж ты пытаешься разобраться :)
	Ответить | Правка | Наверх | Cообщить модератору

	30. "Выпуск nginx 1.19.4"	+/–
	Сообщение от suffix (ok), 28-Окт-20, 18:25
	Я сам дурак - у меня вся статика с поддомена а там я конфиг не поменял ! Сейчас всё в порядке https://www.ssllabs.com/ssltest/analyze.html?d=www.babai.ru&...
	Ответить | Правка | Наверх | Cообщить модератору

	31. "Выпуск nginx 1.19.4"	+1 +/–
	Сообщение от flkghdfgklh (?), 28-Окт-20, 18:29
	Ну круто, теперь у нас с тобой попугаев столько, что можно открывать попугайскую птицефабрику :)
	Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема