Caddy 2.10 更新：隐私保护加持，抗量子威胁防线更坚固

Caddy 2.10 正式发布，为这款备受欢迎的开源 Web 服务器和反向代理工具带来了多项关键的安全性提升。这次更新的亮点之一是显著增强了隐私保护功能，帮助用户更好地保护个人数据。同时，Caddy 2.10 在抗量子加密方面也取得了重要进展，进一步提升了对未来量子计算威胁的防范能力。无论是提升网站安全性，还是为用户隐私提供额外保护，这些改进都使 Caddy 成为越来越适应现代网络需求的强大工具。

🔐 全自动支持 Encrypted ClientHello（ECH）：保护访问隐私

Caddy 2.10 的一大亮点是全面支持 Encrypted ClientHello（ECH），这是一项用于隐藏实际访问服务器名称（SNI）的加密技术。通过将真实的 SNI 包裹在一个通用的 ClientHello 中，ECH 有效防止了网络监听者通过 SNI 分析用户访问的具体站点，从而增强了用户的隐私保护。​

在实际应用中，管理员只需设置一个公开的“外层”域名，并连接一个支持的 DNS 提供商，Caddy 就会自动生成、发布并定期轮换 ECH 配置，无需手动干预。对于多租户系统或对隐私有高要求的组织而言，这是一项非常实用的功能。 ​

🛡️ 默认启用 X25519MLKEM768 混合密钥交换组：迈向抗量子时代

Caddy 2.10 默认启用了 X25519MLKEM768 混合密钥交换组，该组结合了经典的椭圆曲线 Diffie-Hellman（X25519）和最新的 NIST FIPS 203 标准 ML-KEM-768。​

这种组合既能抵抗传统攻击，又具备抗量子计算机攻击的能力，为每一次新建立的连接提供了前向保密保护，同时确保与现有客户端的兼容性。 ​

📜 ACME 证书机制升级：更灵活的证书请求

新版本引入了实验性的 ACME “配置模板”机制，允许管理员请求一些“非标准”证书，例如 Let’s Encrypt 提供的 6 天测试证书，或带有特殊参数的证书。此外，现在默认情况下，通配符证书的优先级高于具体主机证书，更加符合多数用户的预期。 ​

⚙️ 运维细节优化：更简洁的配置与日志

Caddy 2.10 在运维方面也进行了多项优化：​

• 反向代理现在会插入 Via HTTP 头，而不再复制 Server 字段，使下游调试日志更清晰。​
• 管理员可以统一设置一个全局 DNS 提供商，避免在每一个 ACME 挑战或 ECH 配置中重复填写凭证信息，配置更简洁。 ​

🚀 紧跟 Go 语言最新版本：拥抱新特性，简化维护

Caddy 项目调整了维护策略，将只支持最新版的 Go 小版本。开发团队表示，Go 编译器近年来不断加入包括抗量子加密在内的新安全特性，随着这些功能的普及，保持紧跟 Go 最新版本的好处远大于维护旧版本兼容性的成本。

✅ 总结

Caddy 2.10 在安全性和隐私保护方面迈出了重要一步，特别是在支持 Encrypted ClientHello 和默认启用抗量子加密方面的进展，使其在现代 Web 环境中更具竞争力。对于注重安全性和隐私保护的用户来说，Caddy 2.10 是一个值得关注的版本。​

如需了解更多详情，请查阅 Caddy 2.10 的更新日志。

The post Caddy 2.10 更新：隐私保护加持，抗量子威胁防线更坚固 first appeared on Linux迷.