Caddy 2.10 正式發佈!本次更新不僅修復多項錯誤,更帶來多項與 網路隱私、安全性與自動化 DNS 管理 相關的關鍵功能。從支援 Encrypted ClientHello(ECH)到導入後量子金鑰交換,Caddy 持續站在 HTTPS 自動化與隱私保護的最前線。以下帶你深入了解 Caddy 2.10 的八大亮點。
🔐 1. Encrypted ClientHello(ECH):隱私新時代的關鍵技術
ECH 是一種可加密 TLS ClientHello 訊息的技術,能有效隱藏用戶要連線的真實網域(SNI),避免中間人窺探連線目的。
Caddy 2.10 透過「全自動化」實作方式,整合 DNS provider 模組,自動:
- 產生 ECH 金鑰與參數
- 發布 HTTPS 類型的 DNS 記錄(包含
ech 參數)
- 讓網站通通隱身於統一的公開網域(如
ech.example.net)之下
只需簡單設定:
{
dns cloudflare {env.CLOUDFLARE_API_KEY}
ech ech.example.net
}
即可為所有站點啟用 ECH,極大化使用者與伺服器的隱私保護。
🔐 2. 支援後量子密碼學(Post-Quantum Cryptography)
Caddy 現在預設支援 x25519mlkem768 金鑰交換群組,結合現有的橢圓曲線與後量子加密技術,在量子電腦時代來臨前就做好防禦準備。
📜 3. ACME Profiles:彈性化憑證申請新方式
Caddy 新增對 ACME Profile 草案 的支援,允許網站使用者選擇更具彈性的憑證屬性,例如:
- 快速更新(如 Let's Encrypt 提供的 6 天效期憑證)
- 未來可能預設套用該 profile,以強化憑證更新頻率與安全性
🔁 4. Reverse Proxy 設定簡化:使用 Via 標頭
為避免重複使用 Server 標頭導致資訊暴露或混淆,Caddy 現在在反向代理中改為設定標準的 Via 標頭,更符 HTTP 規範與實務需求。
🌐 5. 全域 DNS Provider 支援:設定更簡潔
若站台皆使用同一 DNS provider(如 Cloudflare),Caddy 現在允許你在全域區段設定一次,無需每個網站重複指定:
{
dns cloudflare {env.CLOUDFLARE_API_KEY}
}
這套用於 ACME、ECH、公佈 DNS 記錄等場景,大幅提升設定一致性與管理效率。
🃏 6. 預設使用通配符憑證(Wildcard Certificates)
為配合 ECH 所帶來的子網域隱私強化,Caddy 現在會預設優先使用通配符憑證(如 *.example.com),而非為每個子網域獨立申請 SSL 憑證。
- 想回復舊行為可使用
tls force_automate
- 移除了實驗性選項
auto_https prefer_wildcard
📦 7. libdns 1.0 API:更穩定的 DNS 外掛架構
libdns 是驅動所有 DNS provider 模組的核心函式庫,經五年實務經驗優化後,正式標記為 1.0 版:
- 新 API 定義更嚴謹
- 所有 DNS 插件需更新以相容新版
- 多個常見 provider(Cloudflare、rfc2136、desec 等)已完成更新
⛔ 8. 僅支援最新 Go Minor 版本
自此版本起,Caddy 不再支援兩個舊的 Go minor 版本,只支援「最新的 Go minor 版本」,以確保:
- 新功能(如 PQC)不被延遲釋出
- 編譯行為一致,減少維護負擔
✅ 結語
Caddy 2.10 是一次極具策略意義的版本更新,不僅擴展了 HTTPS 自動化的疆界,更為網站隱私與加密技術的未來立下新標竿。無論你是 DevOps 工程師、網站管理員,或是熱衷於隱私保護的開發者,都不容錯過這次的革新。
如需了解如何將 ECH 與 DNS provider 整合至你的現有 Caddy 設定,歡迎進一步詢問,我可以協助你產出實用的範例設定與測試指引。