Новый Nginx 1.28: расширенные возможности

23 апреля 2025 года команда разработчиков Nginx официально объявила о выходе новой версии популярного веб-сервера — Nginx 1.28.0. Это релиз основного стабильного ветвления, который включает ряд важных улучшений производительности, безопасности и функциональности.

Ключевые изменения в Nginx 1.28

1. Поддержка CUBIC для QUIC

Добавлен алгоритм управления перегрузкой CUBIC (RFC 9438) для соединений по протоколу QUIC. В тестах CUBIC позволил ускорить передачу 500 МБ файла на 24% при задержке 40 мс и 73% при 100 мс, особенно эффективно на соединениях с высоким BDP.

2. Улучшения в модуле stream

• Поддержка проверки отзыва сертификатов клиентов через OCSP.
• Реализация OCSP Stapling — сервер сам предоставляет заверенный удостоверяющим центром ответ без прямого запроса к CA.
• Включено кэширование SSL-сертификатов, ключей и CRL при запуске и обновлении конфигурации.

3. Оптимизация TLS

• Добавлена возможность наследования SSL-контекста между блоками server и location, что снижает нагрузку на CPU.
• Директива ssl_client_certificate теперь не обязательна для проверки клиентских сертификатов.
• Поддержка сертификатов с расширенной информацией.
• Увеличен размер SSL-сессий в shared memory до 8192.
• TLSv1 и TLSv1.1 отключены по умолчанию.

4. Улучшения в proxy, upstream и bind-директивах

• Добавлена директива proxy_pass_trailers для передачи trailing-заголовков от проксируемого сервера.
• В директиву server внутри upstream добавлен параметр resolve, обеспечивающий автоматическое обновление IP без перезапуска.
• IPv6-адреса теперь можно указывать в квадратных скобках в директивах proxy_bind, grpc_bind, realip, и др.

5. Новые возможности управления соединениями

• Введена директива keepalive_min_timeout, позволяющая задать минимальный таймаут для keep-alive-соединений.
• Повышена производительность при работе с gzip, gunzip, ssi, sub_filter, grpc_pass — снижено потребление памяти в долгоживущих запросах.

6. Дополнения для почтового прокси

• В ngx_mail_proxy_module добавлена поддержка специфичного для SmarterMail режима IMAP LOGIN с нетегированным ответом CAPABILITY.

7. Поддержка Musl и HTTP/3

• Обеспечена стабильная сборка с C-библиотекой Musl.
• Оптимизирована производительность и устранены ошибки в реализации HTTP/3.

Совместимость и обновление

Nginx 1.28 полностью совместим с конфигурациями предыдущей версии (1.26), однако разработчики рекомендуют внимательно ознакомиться с официальной документацией перед обновлением, особенно в случае использования нестандартных модулей.

Для пользователей, использующих официальные репозитории, обновление доступно через стандартный пакетный менеджер.