nginx 1.29.3 发布，新增 HTTP CONNECT 支持、SSL 压缩证书等重要特性

2025年10月29日，nginx 发布了 1.29.3 mainline 版本，这一版本在 SSL、HTTP、Geo 配置以及模块继承控制等方面带来了多项增强和修复。以下是本次版本更新的详细说明。

一、主要新增功能

1. 支持 BoringSSL 的压缩服务器证书

• • 新增了证书压缩回调函数与内存管理逻辑，当编译时启用 NGX_ZLIB 且定义了 TLSEXT_cert_compression_zlib 时，服务器可以压缩证书数据。
• • 在使用 BoringSSL 时，压缩后的证书可以减少传输数据量，提高握手效率。

2. 新增 HTTP CONNECT 方法支持

• • HTTP/1.1 中 CONNECT 方法常用于代理场景，例如 HTTPS 隧道建立。
• • 在请求解析逻辑中新增了 sw_spaces_before_host 状态，用于处理 CONNECT 方法请求行中的目标主机信息。
• • 过滤模块对 CONNECT 请求添加了特殊响应状态判断，确保符合协议规范。

3. 新增 $request_port 和 $is_request_port 变量

• • $request_port 可获取当前请求的端口号。
• • $is_request_port 判断当前请求是否使用特定端口，便于在复杂的反向代理或多端口配置中进行条件控制。

4. SSL 增强：新增 $ssl_sigalg 与 $ssl_client_sigalg 变量

• • $ssl_sigalg 用于获取当前连接的签名算法。
• • $ssl_client_sigalg 用于获取客户端端证书签名算法。
• • 便于日志、分析及安全策略调整。

5. Geo 模块新增 volatile 参数

• • 新参数 volatile 可使变量标记为 不可缓存 (NGX_HTTP_VAR_NOCACHEABLE)，适用于需要实时计算或频繁变动的地理位置数据。

6. 新增响应头与尾继承控制

• • 新指令：
  • • add_header_inherit
  • • add_trailer_inherit
• • 支持三种继承模式：
  • • off：不继承
  • • on：完全继承
  • • merge：合并继承（在已有基础上追加父级配置）
• • 改进了 ngx_http_headers_merge_conf 中的配置合并逻辑，对于响应头与尾的继承更加灵活。

二、重要修复

1. 禁用 OCSP stapling 时的证书压缩冲突

• • 如果启用了 ssl_stapling，则禁用证书压缩功能，以避免与 OCSP stapling 同时使用时产生兼容性问题。

2. 修复 Windows 编译警告

• • 针对 c93a0c4 更新后出现的 Windows 平台编译警告进行了处理，提高跨平台构建稳定性。

3. 调整 ssl_ocsp 配置的参数类型

• • 修正了 ssl_ocsp 指令的定义，使其能够使用枚举值参数，更符合配置习惯。

4. 上游模块处理修复

• • 在出现错误时，重置本地地址，避免部分连接状态残留导致的重试失败。

三、模块兼容性改进

• • 增加模块兼容区段 (compat section) 容量，提高对第三方模块和未来特性的兼容性空间。

四、编译依赖更新

• • OpenSSL 从 3.5.2 更新到 3.5.4
• • PCRE2 从 10.45 更新到 10.46
• • Zlib 维持在 1.3.1
• • 提高了 Windows win32 构建的依赖版本，确保安全与性能。

五、总结

nginx 1.29.3 是一次功能性与兼容性提升并重的更新：

• • 对 HTTPS 代理、证书管理、安全分析提供了更强大的工具。
• • 对地理位置变量与响应继承的增强，使配置灵活度提升。
• • 针对编译与运行稳定性进行了优化处理

我们相信人工智能为普通人提供了一种“增强工具”，并致力于分享全方位的AI知识。在这里，您可以找到最新的AI科普文章、工具评测、提升效率的秘籍以及行业洞察。 欢迎关注“福大大架构师每日一题”，发消息可获得面试资料，让AI助力您的未来发展。