Сформирован выпуск основной ветки nginx 1.19.4, в рамках которой продолжается развитие новых возможностей (в параллельно поддерживаемой стабильной ветке 1.18 вносятся только изменения, связанные с устранением серьёзных ошибок и уязвимостей).
Основные изменения:
- Добавлены директивы «ssl_conf_command«, «proxy_ssl_conf_command«, «grpc_ssl_conf_command» и «uwsgi_ssl_conf_command», при помощи которых можно задать произвольные параметры для настройки OpenSSL. Например, для приоритизации шифров ChaCha и расширенной настройки шифров TLSv1.3 можно указать
ssl_conf_command Options PrioritizeChaCha ssl_conf_command Ciphersuites TLS_CHACHA20_POLY1305_SHA256
- Добавлена директива «ssl_reject_handshake«, которая предписывает отвергать все попытки согласования SSL-соединений (например, можно использовать для отклонения всех обращений с неизвестными именами хостов в поле SNI).
server { listen 443 ssl; ssl_reject_handshake on; } server { listen 443 ssl; server_name example.com; ssl_certificate example.com.crt; ssl_certificate_key example.com.key; }
- В почтовый прокси добавлена директива proxy_smtp_auth, позволяющая аутентифицировать пользователя на бэкенде при помощи команды AUTH и механизма PLAIN SASL.
Источник: https://www.opennet.ru/opennews/art.shtml?num=53976