[250423] Caddy 2.10 正式发布:引入 ECH、后量子加密等重要更新
目录
- Caddy 2.10 正式发布
- 主要亮点
- 关于 ECH 的简要说明
- 重要提示:Go 版本要求更新
Caddy 2.10 正式发布
Caddy Web 服务器迎来了 2.10 版本,带来了一系列令人兴奋的新功能和改进,旨在提升隐私、安全性和易用性。
主要亮点
-
新增支持加密客户端问候 (ECH):
- 这是一项前沿的隐私技术,旨在加密 TLS 连接建立过程中最后的明文部分——ClientHello,其中通常包含用户访问的域名 (SNI)。
- 通过隐藏真实的访问域名,ECH 能够显著提升用户的浏览隐私。
- Caddy 2.10 实现了全自动 ECH 配置,只需在配置中指定一个公共域名和 DNS 提供商,Caddy 即可自动生成、发布(通过 DNS 的 HTTPS 记录)和管理 ECH 所需的密钥和配置。
-
默认启用后量子密码学 (PQC):
- 为了应对未来量子计算可能带来的安全威胁,Caddy 现已默认支持标准化的
x25519mlkem768后量子密钥交换算法,加固 TLS 连接的安全性。
- 为了应对未来量子计算可能带来的安全威胁,Caddy 现已默认支持标准化的
-
默认优先使用通配符证书:
- 为了配合 ECH 提供的子域名隐私优势,Caddy 现在会默认利用通配符证书来覆盖其下的子域名,而不是为每个子域名单独申请证书。这有助于简化证书管理并减少证书签发数量。
-
全局 DNS 提供商配置:
- 现在可以在 Caddy 配置的全局区域指定一个默认的 DNS 提供商。这样,在需要进行 ACME DNS 挑战或发布 ECH 配置等操作时,无需在多个地方重复填写 DNS 提供商的凭据,简化了配置。
-
引入实验性的 ACME 配置文件:
- 这是一项实验性功能,允许用户更灵活地选择证书的特定属性。例如,未来 Let’s Encrypt 可能会通过特定配置文件提供有效期仅为 6 天的证书。
-
反向代理行为优化:
- 反向代理现在使用标准的
Via头部信息,替代了之前可能产生的重复Server头部。
- 反向代理现在使用标准的
关于 ECH 的简要说明
通常,当浏览器连接到一个网站时,它会明文发送想要访问的域名。ECH 技术通过使用一个公开的、通用的域名(例如 ech.example.net)作为“外壳”,将用户真正想访问的域名(例如 my-private-site.com)加密隐藏起来。当许多网站共享同一个“外壳”域名时,网络上的窃听者就更难知道用户具体访问了哪个网站。
Caddy 的自动化 ECH 功能使得部署这一先进隐私技术变得简单。用户只需确保 Caddy 拥有操作其域名 DNS 记录的权限(通过配置 DNS 提供商模块),并指定一个用于 ECH 的公共域名即可。
重要提示:Go 版本要求更新
为了确保所有用户都能尽快获得最新的安全和隐私增强功能(如后量子加密),Caddy 2.10 及更高版本 仅支持使用最新的 Go 语言次要版本 进行构建和运行。请确保您的构建和运行环境满足此要求。
总而言之,Caddy 2.10 在隐私保护、前瞻性安全和配置便利性方面迈出了重要一步,推荐用户升级体验。
来源:
https://github.com/caddyserver/caddy/releases/tag/v2.10.0
更多内容请查阅 : blog-250423