forum.opennet.ru

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Режим отображения отдельной подветви беседы		[ Отслеживать ]

Оглавление

Выпуск nginx 1.19.4, opennews (??), 27-Окт-20, (0) [смотреть все]

а чё это они с такой частотой релизов - и до сих пор на свободе , Аноним (5), 01:31 , 28-Окт-20, (5) –6 //

https www opennet ru openforum vsluhforumID3 122243 html 9, flkghdfgklh (?), 06:36 , 28-Окт-20, (10)

Доколе У nginx есть хоть LTS Что за темп нововведений , Аноним (6), 01:42 , 28-Окт-20, (6) –8 //

У nginx есть stable и mainline Stable это 1 x y, где x 8212 четное число Нов, flkghdfgklh (?), 06:33 , 28-Окт-20, (9) +5
конечно есть - nginx называетсо Всего лишь полторы тыщи долларов в год за одно, пох. (?), 13:42 , 28-Окт-20, (24) –3
Нахрена нужен лтс, когда можно новые фичи сразу иметь в проде Просто чтобы имет, Аноним (35), 00:13 , 02-Ноя-20, (35) –1

Service Discovery так и не завезли , Аноним (7), 02:09 , 28-Окт-20, (7)
Почему по умолчанию отключён ssl_reject_handshake on , Аноним (8), 02:25 , 28-Окт-20, (8) //

Включать по дефолту фичу которая только появилась А ты 8212 оригинал, блин, flkghdfgklh (?), 07:21 , 28-Окт-20, (11) +5

Два года ждал Правда в первую неделю ожидания научился это делать глобально в, Ilya Indigo (ok), 07:25 , 28-Окт-20, (12) –1 //

Additionally, the ssl_reject_handshake directive makes configuring certificates , flkghdfgklh (?), 07:34 , 28-Окт-20, (13) +2 //

Мне всё равно не понятно зачем web-серверу проксировать postfix с dovecot , Ilya Indigo (ok), 07:56 , 28-Окт-20, (17) –1 //

Ну потому что изначально Игорь его создавал не только как веб-сервер Игорь его , flkghdfgklh (?), 08:10 , 28-Окт-20, (19)

Я правильно понимаю что после установки 1 19 4 надо добавить в соотестветствующи, suffix (ok), 10:22 , 28-Окт-20, (20)

Cipher Strength будет в 100, Key Exchange в 90Но, да, это совсем дофига попугаев, flkghdfgklh (?), 11:00 , 28-Окт-20, (21)

Чтобы и Key Exchange 100 стало надо чачу отключить , suffix (ok), 11:08 , 28-Окт-20, (22)

Не исключаю -DНо, вообще, для LE вроде рекомендуют Use 4096-bit RSA or secp256 , flkghdfgklh (?), 11:18 , 28-Окт-20, (23) +1

Что-то не заработало у меня В TLS 1 3 остались по-мимо нужного TLS_AES_256_GCM, suffix (ok), 15:38 , 28-Окт-20, (28)

Вот что у меня на тестовом на котором выходит 100-100-90-100 по ssl у в конфиге , flkghdfgklh (?), 18:04 , 28-Окт-20, (29)

Я сам дурак - у меня вся статика с поддомена а там я конфиг не поменял Сейчас в, suffix (ok), 18:25 , 28-Окт-20, (30)

Ну круто, теперь у нас с тобой попугаев столько, что можно открывать попугайскую, flkghdfgklh (?), 18:29 , 28-Окт-20, (31) +1

Я правильно понял Теперь вместо этого code server listen 443 default_server ht, Ilya Indigo (ok), 07:37 , 28-Окт-20, (14) //

Что-то похожее на это, посмотри все же по ссылке Но я бы пока не стал включать , flkghdfgklh (?), 07:46 , 28-Окт-20, (15) +2 //

Благодарю, именно так If no certificates are configured in the default server fo, Ilya Indigo (ok), 07:52 , 28-Окт-20, (16) +2

Да не за чтоВообще меня директива заинтересовала, но я подожду 1 19 5 хотя бы и , flkghdfgklh (?), 07:57 , 28-Окт-20, (18) +1

Ох уже мне эти выжидальщики Прогнал тесты и запустил в прод, полёт нормальный , Аноним (35), 01:00 , 29-Окт-20, (33)

Ну извини, если у тебя прод это твой сайт, то можно и пускать, а у меня прод это, flkghdfgklh (?), 01:48 , 29-Окт-20, (34)

У меня прод это мой бизнес за счёт которого я живу и кормлю семью И конечно же , Аноним (35), 00:22 , 02-Ноя-20, (36)

Отказ от новых фич и внедрение в прод фичи которая только что вышла в mainline-в, flkghdfgklh (?), 16:16 , 02-Ноя-20, (38)

Вы были правы Проверил сегодня эту опцию По IP отрабатывает как и ожидалось, но, Ilya Indigo (ok), 08:07 , 07-Ноя-20, (39)

Ну я просто знаю что такие серьезные вещи всегда имеют какие-то подводные камни , flkghdfgklh (?), 22:32 , 07-Ноя-20, (40)

Зачастили как-то релизы nginx-а , Какаянахренразница (ok), 13:59 , 28-Окт-20, (25) +6 //

Как будто что-то плохое , anoname (?), 15:34 , 28-Окт-20, (27) +5

Apache наше все, долой клонов индейца , Аноним (6), 14:35 , 28-Окт-20, (26) –4
ssl_reject_handshake это бомба, надо же было им столько времени потратить чтобы , Аноним (35), 01:00 , 29-Окт-20, (32) +2 //

Будьте аккуратнее, эта опция ломает TLS1 3 https trac nginx org nginx ticket 2, Аноним (35), 00:42 , 02-Ноя-20, (37) +1

Сообщения [Сортировка по времени | RSS]

14. "Выпуск nginx 1.19.4" +/–

Сообщение от Ilya Indigo (ok), 28-Окт-20, 07:37

> ssl_reject_handshake on;
> ... отвергать все попытки согласования SSL-соединений ...
Я правильно понял? Теперь вместо этого
server
{
    listen 443 default_server http2 ssl;
    ssl_certificate /etc/nginx/certs/example.com.crt;
    ssl_certificate_key /etc/nginx/certs/example.com.key;
    return 444;
}

можно просто написать вот это
server
{
    listen 443 http2 ssl;
    ssl_reject_handshake on;
}

И он будет слать лесом тех, кто обращается к серверу по IP или не определённому в конфиге имени сервера?
При этом не нужно теперь указывать сертификаты, return 444 и директиву default_server? Я правильно понял?

Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

15. "Выпуск nginx 1.19.4" +2 +/–

Сообщение от flkghdfgklh (?), 28-Окт-20, 07:46

Что-то похожее на это, посмотри все же по ссылке. Но я бы пока не стал включать это дело, подождал бы до 1.19.5 хотя бы, обычно такие новые фичи приходится править в следующих релизах

Ответить | Правка | Наверх | Cообщить модератору

16. "Выпуск nginx 1.19.4" +2 +/–

Сообщение от Ilya Indigo (ok), 28-Окт-20, 07:52

Благодарю, именно так!
If no certificates are configured in the default server for a given listening socket, certificates must be defined in all non-default server blocks with the listening socket in question.

Ответить | Правка | Наверх | Cообщить модератору

18. "Выпуск nginx 1.19.4" +1 +/–

Сообщение от flkghdfgklh (?), 28-Окт-20, 07:57

Да не за что
Вообще меня директива заинтересовала, но я подожду 1.19.5 хотя бы и почитаю что будут писать в рассылке про возможные проблемы.

Ответить | Правка | Наверх | Cообщить модератору

33. "Выпуск nginx 1.19.4" +/–

Сообщение от Аноним (35), 29-Окт-20, 01:00

Ох уже мне эти выжидальщики. Прогнал тесты и запустил в прод, полёт нормальный.

Ответить | Правка | Наверх | Cообщить модератору

34. "Выпуск nginx 1.19.4" +/–

Сообщение от flkghdfgklh (?), 29-Окт-20, 01:48

Ну извини, если у тебя прод это твой сайт, то можно и пускать, а у меня прод это сайты клиентов и мне там косяки не нужны
У себя-то я само собой потестирую, но буду ждать следующего релиза и читать рассылку, что бы не самому все грабли собирать

Ответить | Правка | Наверх | Cообщить модератору

36. "Выпуск nginx 1.19.4" +/–

Сообщение от Аноним (35), 02-Ноя-20, 00:22

У меня прод это мой бизнес за счёт которого я живу и кормлю семью. И конечно же я не буду терять преимущество отказываясь от новых фич, не буду тратить время чтобы сидеть читать какие-то сраные рассылки, а потом всё равно дрожать перед обновлением, потому что гарантий что твой кейс не пропустили нет никаких.
А вы сразу скажите что у вас за контора, чтобы не дай бог вашим клиентом не стать. Во времена виртхостинга мне уже возвращали деньги и неустойку одни (всё ещё популярные, на букву v) уроды с некомпетентными работаетнетрогаями вместо админов и древней тухлятиной вместо софта, под который нужно специальным образом писать код чтобы не дай бог не заиспользовать фичу PHP, питона или nginx пятилетней давности которая там ещё не поддерживается.

Ответить | Правка | Наверх | Cообщить модератору

38. "Выпуск nginx 1.19.4" +/–

Сообщение от flkghdfgklh (?), 02-Ноя-20, 16:16

Отказ от новых фич и внедрение в прод фичи которая только что вышла в mainline-ветке это разные вещи.
Мы используем именно mainline для nginx, у нас свой репозиторий(из-за использования модулей которые не входят в официальный, например brotli), но включать новую фичу клиентам сразу после релиза я не буду, что бы не сломать им ничего. Я выжду месяц(примерно столько между релизами в mainline), почитаю рассылку, протестирую у себя на некритичных проектах, а потом уже внедрю
У тебя вышел какой-то френдли-файр, прямо скажем :)

Ответить | Правка | Наверх | Cообщить модератору

39. "Выпуск nginx 1.19.4" +/–

Сообщение от Ilya Indigo (ok), 07-Ноя-20, 08:07

> Да не за что
> Вообще меня директива заинтересовала, но я подожду 1.19.5 хотя бы и почитаю
> что будут писать в рассылке про возможные проблемы.
Вы были правы!
Проверил сегодня эту опцию. По IP отрабатывает как и ожидалось, но вот только, бонусом, нафиг отрубается TLS 1.3 на всех хостах!
https://trac.nginx.org/nginx/ticket/2071
Охренеть это ещё и по дизайну! Короче про эту опцию нужно просто забыть, и использовать return 444 как и раньше!

Ответить | Правка | К родителю #18 | Наверх | Cообщить модератору

40. "Выпуск nginx 1.19.4" +/–

Сообщение от flkghdfgklh (?), 07-Ноя-20, 22:32

Ну я просто знаю что такие серьезные вещи всегда имеют какие-то подводные камни и нужно ждать, а не внедрять сразу

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру


	14. "Выпуск nginx 1.19.4"	+/–
	Сообщение от Ilya Indigo (ok), 28-Окт-20, 07:37
	> ssl_reject_handshake on; > ... отвергать все попытки согласования SSL-соединений ... Я правильно понял? Теперь вместо этого server { listen 443 default_server http2 ssl; ssl_certificate /etc/nginx/certs/example.com.crt; ssl_certificate_key /etc/nginx/certs/example.com.key; return 444; } можно просто написать вот это server { listen 443 http2 ssl; ssl_reject_handshake on; } И он будет слать лесом тех, кто обращается к серверу по IP или не определённому в конфиге имени сервера? При этом не нужно теперь указывать сертификаты, return 444 и директиву default_server? Я правильно понял?
	Ответить \| Правка \| К родителю #12 \| Наверх \| Cообщить модератору


	15. "Выпуск nginx 1.19.4"	+2 +/–
	Сообщение от flkghdfgklh (?), 28-Окт-20, 07:46
	Что-то похожее на это, посмотри все же по ссылке. Но я бы пока не стал включать это дело, подождал бы до 1.19.5 хотя бы, обычно такие новые фичи приходится править в следующих релизах
	Ответить \| Правка \| Наверх \| Cообщить модератору


	16. "Выпуск nginx 1.19.4"	+2 +/–
	Сообщение от Ilya Indigo (ok), 28-Окт-20, 07:52
	Благодарю, именно так! If no certificates are configured in the default server for a given listening socket, certificates must be defined in all non-default server blocks with the listening socket in question.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	18. "Выпуск nginx 1.19.4"	+1 +/–
	Сообщение от flkghdfgklh (?), 28-Окт-20, 07:57
	Да не за что Вообще меня директива заинтересовала, но я подожду 1.19.5 хотя бы и почитаю что будут писать в рассылке про возможные проблемы.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	33. "Выпуск nginx 1.19.4"	+/–
	Сообщение от Аноним (35), 29-Окт-20, 01:00
	Ох уже мне эти выжидальщики. Прогнал тесты и запустил в прод, полёт нормальный.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	34. "Выпуск nginx 1.19.4"	+/–
	Сообщение от flkghdfgklh (?), 29-Окт-20, 01:48
	Ну извини, если у тебя прод это твой сайт, то можно и пускать, а у меня прод это сайты клиентов и мне там косяки не нужны У себя-то я само собой потестирую, но буду ждать следующего релиза и читать рассылку, что бы не самому все грабли собирать
	Ответить \| Правка \| Наверх \| Cообщить модератору


	36. "Выпуск nginx 1.19.4"	+/–
	Сообщение от Аноним (35), 02-Ноя-20, 00:22
	У меня прод это мой бизнес за счёт которого я живу и кормлю семью. И конечно же я не буду терять преимущество отказываясь от новых фич, не буду тратить время чтобы сидеть читать какие-то сраные рассылки, а потом всё равно дрожать перед обновлением, потому что гарантий что твой кейс не пропустили нет никаких. А вы сразу скажите что у вас за контора, чтобы не дай бог вашим клиентом не стать. Во времена виртхостинга мне уже возвращали деньги и неустойку одни (всё ещё популярные, на букву v) уроды с некомпетентными работаетнетрогаями вместо админов и древней тухлятиной вместо софта, под который нужно специальным образом писать код чтобы не дай бог не заиспользовать фичу PHP, питона или nginx пятилетней давности которая там ещё не поддерживается.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	38. "Выпуск nginx 1.19.4"	+/–
	Сообщение от flkghdfgklh (?), 02-Ноя-20, 16:16
	Отказ от новых фич и внедрение в прод фичи которая только что вышла в mainline-ветке это разные вещи. Мы используем именно mainline для nginx, у нас свой репозиторий(из-за использования модулей которые не входят в официальный, например brotli), но включать новую фичу клиентам сразу после релиза я не буду, что бы не сломать им ничего. Я выжду месяц(примерно столько между релизами в mainline), почитаю рассылку, протестирую у себя на некритичных проектах, а потом уже внедрю У тебя вышел какой-то френдли-файр, прямо скажем :)
	Ответить \| Правка \| Наверх \| Cообщить модератору


	39. "Выпуск nginx 1.19.4"	+/–
	Сообщение от Ilya Indigo (ok), 07-Ноя-20, 08:07
	> Да не за что > Вообще меня директива заинтересовала, но я подожду 1.19.5 хотя бы и почитаю > что будут писать в рассылке про возможные проблемы. Вы были правы! Проверил сегодня эту опцию. По IP отрабатывает как и ожидалось, но вот только, бонусом, нафиг отрубается TLS 1.3 на всех хостах! https://trac.nginx.org/nginx/ticket/2071 Охренеть это ещё и по дизайну! Короче про эту опцию нужно просто забыть, и использовать return 444 как и раньше!
	Ответить \| Правка \| К родителю #18 \| Наверх \| Cообщить модератору


	40. "Выпуск nginx 1.19.4"	+/–
	Сообщение от flkghdfgklh (?), 07-Ноя-20, 22:32
	Ну я просто знаю что такие серьезные вещи всегда имеют какие-то подводные камни и нужно ждать, а не внедрять сразу
	Ответить \| Правка \| Наверх \| Cообщить модератору