Nginx 1.27.5 主线版发布：全新特性与优化全面解读

Nginx 作为一款高性能的 HTTP 和反向代理服务器，凭借其出色的稳定性和灵活性，一直广受开发者的青睐。近日，Nginx 1.27.5 主线版本正式发布，引入了多项新功能和优化改进，进一步提升了性能和安全性。

Nginx 1.27.5 主要更新

构建更新

• 构建修复：修复了在不使用libcrypt时的构建问题。
• MSVC 兼容性：提升了 Nginx 在 MSVC 环境下的兼容性，特别是与 PCRE2 10.45 的协作。

功能改进与问题修复

• 请求计数修复：解决了subrequests出错情况下的请求计数问题。
• SSL 会话保存：针对上游服务器，新增了保存大规模会话的解决方案。
• Slice 过滤器改进：优化了内存分配错误处理。
• Charset 过滤器改进：增强了charset_map和utf-8验证的处理。

上游与 SSL 相关更新

• 上游密码支持：修复了上游动态证书的密码支持问题。
• SSL 外部组支持：为$ssl_curve和$ssl_curves变量添加了外部密码学组支持。

QUIC 协议优化

• CUBIC 拥塞控制：引入了 QUIC 协议下的 CUBIC 拥塞控制算法，显著提升了传输效率。

Nginx 1.27.4 主要更新

新增指令

• ssl_object_cache_inheritable：新增支持 SSL 对象缓存的继承功能
• ssl_certificate_cache、proxy_ssl_certificate_cache、grpc_ssl_certificate_cache 和 uwsgi_ssl_certificate_cache：分别用于优化不同协议下的 SSL 证书缓存管理。
• keepalive_min_timeout：新增用于设置最小 keepalive 超时时间的指令。

兼容性优化

• 修复了在使用zlib-ng时，日志中可能出现「gzip filter failed to use preallocated memory」警告信息的问题。
• 修复了在 Solaris 10 及更早版本上，ngx_http_v3_module模块无法编译的问题。

QUIC 相关修复

• 修复了在使用 0-RTT 时，可能无法建立 QUIC 连接的问题（该问题从 Nginx 1.27.1 开始存在）。
• 现在，Nginx 会忽略来自客户端的 QUIC 版本协商数据包，进一步提升稳定性。

HTTP/3 相关 Bug 修复

• 修复了 HTTP/3 协议相关的若干问题，提升了协议的稳定性和兼容性。

安全修复

• TLSv1.3 虚拟服务器安全问题：在 TLSv1.3 的虚拟服务器处理过程中，由于 SNI 检查不足，可能导致 SSL 会话在不同的虚拟服务器间复用，从而绕过客户端 SSL 证书验证。此问题已被修复，漏洞编号为 CVE-2025-23419。

Nginx 1.27.3 主要更新

重要功能更新

• 动态 DNS 解析：新增upstream配置块中server指令的resolve参数，支持上游服务器地址的动态 DNS 解析。
• 灵活的 DNS 配置：在upstream配置块中引入resolver和resolver_timeout指令，用户可以自定义 DNS 解析器及超时设置。
• 增强的邮件代理兼容性：邮件代理模块与 SmarterMail 的兼容性得到提升，现已支持处理无标记 CAPABILITY 响应的 IMAP LOGIN。

配置优化

• 简化 IPv6 地址配置：在多个模块的bind相关指令（proxy_bind、fastcgi_bind 等）以及ngx_http_realip_module处理客户端地址时，支持使用**[方括号]**表示 IPv6 地址，无需指定端口。

安全性提升

• 默认禁用旧版 TLS 协议：默认禁用 TLSv1 和 TLSv1.1 协议，进一步提升系统安全性。

问题修复

• 修复ngx_http_mp4_module模块问题。
• 解决 DragonFly BSD 系统上listen指令的so_keepalive参数处理异常。
• 修复proxy_store指令的缺陷。

Nginx 1.27.2 主要更新

• SSL 证书缓存机制：现在支持在启动或重新加载配置时，对 SSL 证书、密钥和证书撤销列表 (CRL) 进行缓存。
• 流模块安全性增强：新增通过 OCSP（在线证书状态协议）验证客户端证书的功能，并引入 OCSP Stapling（证书状态锁定）支持，在 TLS 握手阶段主动提供证书状态信息。
• HTTP 代理功能优化：在ngx_http_proxy_module模块中新增proxy_pass_trailers指令，支持在代理请求中传递 trailers 信息。
• 证书处理机制升级：ssl_client_certificate指令现已支持包含附加信息的证书，并简化了客户端证书验证流程，不再强制要求使用ssl_client_certificate指令。