Спустя три месяца после выхода предыдущей версии Caddy 2.9 команда, стоящая за Caddy, популярным веб-сервером с открытым исходным кодом и обратным прокси-сервером, написанным на языке Go, официально представила версию 2.10 с набором возможностей, ориентированных на безопасность.
Главная изюминка – Caddy теперь предлагает полностью автоматизированную поддержку Encrypted ClientHello (ECH). ECH скрывает истинное имя сервера (SNI) внутри внешнего, общего ClientHello.
На практике администраторам достаточно задать публичный внешний домен и указать Caddy на совместимого DNS-провайдера; затем сервер генерирует, публикует и, при необходимости, ротирует конфигурационные записи ECH. Для организаций, обеспокоенных анализом трафика на основе имен или конфиденциальностью многопользовательской сети, это очень важно.
Параллельно с этим сервер теперь по умолчанию использует гибридную группу X25519MLKEM768. Это сочетание классической эллиптической кривой Диффи-Хеллмана с ML-KEM-768 – новым алгоритмом NIST FIPS 203 – дает каждой новой сессии прямую секретность как от классических, так и от квантовых компьютеров, обеспечивая совместимость с современными клиентами.
В Caddy 2.10 также запущен экспериментальный механизм профилей ACME, позволяющий администраторам запрашивать сертификаты с нестандартным сроком действия (например, шестидневные тестовые сертификаты Lets Encrypts) или другими индивидуальными свойствами. В то же время сертификаты с подстановочными знаками теперь по умолчанию имеют приоритет над сертификатами отдельных хостов.
Операционные усовершенствования дополняют основную криптографию. Обратный прокси-сервер вставляет заголовок Via вместо дублирования Server, что уменьшает двусмысленность при последующей диагностике. Администраторы могут определить единого глобального DNS-провайдера, чтобы исключить повторение учетных данных в вызовах ACME и при публикации ECH.
Наконец, проект Caddy пересмотрел свою политику и теперь отслеживает только последний минорный выпуск Go. Сопровождающие утверждают, что в новых версиях Go все чаще появляются функции безопасности – в том числе постквантовые примитивы – и широкое внедрение перевешивает затраты на поддержку нескольких путей кода.
Дополнительную информацию можно найти в журнале изменений.
Комментарии (0)