2015年 5月 の投稿一覧

Nginx 1.9.1 リリース ~デフォルトでSSLv3がdisabledに

2015年5月26日にNginx 1.9.1 リリースがリリースされました。 リリース概要と変更点に関連するTopicsをお知らせします。
 

こんにちは、村田です。

2015年5月26日に Nginx 1.9.1 がリリースされました。
今回のリリースでSSLv3プロトコルがデフォルトでDisabled に変更されています。

SSLv3といえば脆弱性問題「POODLE」でpadding oracle side-channel 攻撃を行うことで暗号文を解読出来てしまうという問題が公開され話題にも上がりました。この時の対処方法として SSLv3 を使わずに TLSv1.1 または TLSv1.2 を利用することが推奨されていました。

【参考】httpd における POODLE SSLv3.0 脆弱性問題の解決方法 (CVE-2014-3566)
https://access.redhat.com/ja/node/1232613

今回の変更は機能面での大きな変更ではありませんが、セキュリティ面を配慮したデフォルト設定変更と言えます。

* nginx.org には詳細が公開されておりませんが、NGINX Plus を展開する Nginx inc. のBlog では、「Socket Sharding in NGINX Release 1.9.1」という記事がポストされており、Socket Sharding が使えるようになりそうです。詳細は別途ブログ記事でお知らせします。

Nginx CHANGES より nginx 1.9.1 の主な変更点を下記に日本語参考訳とともにまとめました。

目次 [hide]

nginx 1.9.1 の変更点(参考訳)

  • SSLv3 プロトコルはデフォルトで Disabled に変更
  • いくつかの非推奨の長いディレクティブはサポートされません
  • 「listen」ディレクティブに “reuseport” パラメーターを追加
  • $upstream_connect_time 変数を追加
  •  big-endian プラットフォーム上の 「hash」ディレクティブの Bug を修正
  • nginxは、いくつかの古く特異な Linux 上で起動に失敗することがあります。
    この Bug は1.7.11 以降に含まれます。
  • IPアドレスの解析に関わる Bug を修正

Nginx CHANGES 原文は下記となります。

    *) Change: now SSLv3 protocol is disabled by default.

    *) Change: some long deprecated directives are not supported anymore.

    *) Feature: the "reuseport" parameter of the "listen" directive.
       Thanks to Sepherosa Ziehau and Yingqi Lu.

    *) Feature: the $upstream_connect_time variable.

    *) Bugfix: in the "hash" directive on big-endian platforms.

    *) Bugfix: nginx might fail to start on some old Linux variants; the bug
       had appeared in 1.7.11.

    *) Bugfix: in IP address parsing.
       Thanks to Sergey Polovko.

Changes with nginx 1.9.1  

nginx_sios

NGINX Plus Release6 リリース

2015年4月14日にNGINX Plus Release 6 が公開されました。主なアップデートは下記となります。

目次 [hide]

NGINX Plus Major new features

  • Fastest Load Balancing Algorithm
  • Full-Featured TCP Load Balancing
  • High Availability
  • Updated Extended Status Dashboard
  • Unbuffered Upload Support
  • SSL Authentication For the SMTP Mail Protocol

ロードバランシングのアルゴリズムが追加、よりグラフィカルで見やすくなった Status Dashboard など、コミュニティ版にはない機能強化がNGINX Plus には加えられています。

Nginx Inc.から届いた情報より、重要なポイントを下記にご紹介します。

新しい負荷分散アルゴリズム「Least Time」

Least Time アルゴリズムは応答時間が異なるノードを持つ分散環境のために、より速く、よりロードが少ないノードを選択することができます。

このアルゴリズムは、ロードバランシングプール内の各ノードからの同時接続数と平均応答時間を監視し、それぞれの要求に最良のノードを推定するためにこのインテリジェンスを使用します。

フル機能のTCPロードバランシング

NGINX Plus R5で導入されたTCPロードバランシング機能が大幅に拡張されました。

TCPヘルスチェック、Dynamic reconfiguration(動的再構成)、すべてのアクセスログ、およびSSLターミネーションと暗号化をサポートしました。

新しいステータスダッシュボードでは、このTCPロードバランシングの情報(TCP zones、TCP Upstreams)も含まれるようになりました。

高可用性NGINX Plus クラスタのサポート

keepalived ベースの高可用性機能をサポートしました。
オプションの nginxの-HA-keepalived のパッケージを使用してインストールされます。

ステータスダッシュボードの機能拡張と新デザインの採用

グラフィカルでより見やすい画面に変更され、TCPロードバランシングの情報が追加されました。

NP6_SD-01

以下のようにTCPロードバランシングの項目が追加されています。

NP6_TCP-01

Nginx Inc.が用意している実際のステータスダッシュボードDemoサイトもございます。
こちらも併せてご確認ください。

より細かい情報はリリース情報やNginx Inc.のブログにて順次公開さています。

参考:
NGINX, Inc. Launches NGINX Plus Release 6
http://nginx.com/blog/nginx-inc-launches-nginx-plus-release-6/
Announcing NGINX Plus Release 6 with Enhanced Load Balancing, High Availability, and Monitoring Features
http://nginx.com/blog/nginx-plus-r6-released/?utm_source=nginxcom&utm_medium=banner&utm_campaign=R6_release


日本での NGINX Plus に関するご相談や評価版利用に関するお問い合わせはサイオステクノロジーまでお気軽にお問い合わせください。

NGINX Plus 製品ページ
http://www.sios.com/products/oss/nginx/

nginx_sios