Varnish-Update & direkte Asset-Auslieferung bei Maxcluster

Varnish ist seit Jahren die Standard-Lösung, wenn man einen schnellen HTTP-Proxy-FPC für Magento2 bzw. Adobe Commerce benötigt.

Varnish-Update behebt VSV00013

Bereits am 13.11.2023 erhielt die Software ein Update, um einen Angriffsvektor in der Implementierung des HTTP/2-Protokolls zu schließen. Vor dem Update war es möglich, durch sehr schnelles Erstellen & Zurücksetzen von Verbindungen einen Server-Ausfall (Denial-of-Service / DOS) zu erzwingen.

Dieser Angriffsvektor befindet sich zwar nicht in Varnish, sondern in der Spezifikation des HTTP/2-Protokoll selber – dennoch hat Varnish nun eigene Parameter geschaffen, die es Server-Admins erlauben, solchen Angriffen vorzubeugen. Weiterführende Informationen finden sich auf der Varnish-Webseite im Beitrag zur Vulnerability VSV00013.

Direkte Auslieferung statischer Assets bei Maxcluster

Im Zuge des Roll-Outs dieses Varnish-Updates erhalten Kunden unseres Hosting-Partners Maxcluster außerdem die Möglichkeit, im Managed-Center die direkte Auslieferung von statischen Dateien über den NGINX-Proxy zu aktivieren.

NGINX als SSL-Offloader vor Varnish zu nutzen, ist ebenso zum Standard geworden wie Varnish selber. Normalerweise bedient dieser vorgeschaltete Webserver den Browser des Besuchers aber nicht mit statischen Dateien, sondern leitet derartige Anfragen wie alles andere auch an Varnish und damit das Backend – bspw. einen Apache-Webserver – weiter. Diese überflüssige „Arbeit“ wird dem Server durch das neue Feature nun abgenommen.

In einer Standard-Konfiguration empfehlen sowohl Maxcluster als auch wir die Aktivierung des Features.