Caddy 2.10.0：现代 Web 与反代服务器全新发布

热门开源 Web 服务器与反向代理项目 Caddy 2.10.0 版本正式发布！这次更新不仅包含了大量功能升级和漏洞修复，还对用户体验进行了全面优化，让网站托管、反向代理、证书申请和 DNS 管理变得更加高效、顺畅。

Caddy 2.10.0 主要更新

ECH：加密 ClientHello

ECH 草案规范已经逐渐成熟，Caddy 团队抢先集成了 Encrypted ClientHello（ECH，加密 ClientHello）这一前沿的隐私技术，进一步提升网站通信的隐私性和安全性。

• ECH 能够加密 TLS 握手阶段的最后一个明文部分——即 ClientHello，其中就包含了用户所请求的域名。
• 由于 ECH 功能强大且实现较为复杂，强烈建议大家阅读 Caddy 官方 ECH 文档深入了解这一特性。

PQC：抗量子密钥交换

Caddy 2.10.0 默认启用了标准化的x25519mlkem768加密组，这种密钥交换方式能够对抗量子计算的威胁，提升了服务器的长期安全性。

ACME 配置文件

新增了对 ACME profiles 草案的实验性支持：

• 相比传统的 CSR（证书签名请求），这个功能允许用户更灵活地自定义证书属性。
• Let’s Encrypt 计划通过特定 profile 发布 6 天有效期的短期证书，Caddy 今后也有望默认采用这种配置。

Via 头

反向代理模块现在默认设置了Via头字段，取代了以往重复的Server头，更加符合 HTTP 规范，有助于链路追踪。

全局 DNS 提供商配置

现在，用户可以在全局配置中指定默认的「全局」DNS 提供商，而不用在每个需要 DNS 服务（如 ACME DNS 验证或 ECH）的位置分别配置。

你可以在 Caddyfile 中使用dns全局选项，或者在 JSON 配置的tls应用参数中统一指定，大大简化了配置流程。

通配符证书默认启用

与以往针对每个域名单独申请证书不同，在 Caddy 2.10.0 中，只要配置包含了通配符，Caddy 就会自动为相关子域，通过通配符证书提供 HTTPS 服务。

这一调整主要是为了满足 ECH 带来的子域隐私新需求。如果要恢复逐域证书申请，可以在 Caddyfile 中通过tls force_automate设置。（实验性的auto_https prefer_wildcard选项已被移除。）

libdns 1.0 API

许多用户会用到 DNS 提供模块来实现 ACME DNS 验证或动态 DNS 功能。这些模块基于 libdns 提供的 API 来实现 DNS 解析记录的增、删、改、查。

经过长达 5 年的生产环境考验，特别是 ECH 研发带来的经验积累，libdns API 现已全面升级并发布了 1.0 beta 版。各 DNS 提供商需要适配新版接口，这将为未来的系统稳定性和语义规范性奠定基础。目前已有部分模块（如 cloudflare、rfc2136、desec）完成或正在进行适配升级。

全局 DNS 配置升级

随着 Caddy 中越来越多组件（比如 ACME 证书校验、ECH 信息发布等）对 DNS 的依赖，现在只需在全局配置一次dns，即可管理所有与该 DNS 提供商关联的域名，不再需要重复录入账号凭证，大大提升了多域环境下的配置效率。