Caddy

提示：此條目的主題不是球僮 (高爾夫球)。

Caddy服務器（或稱Caddy Web）是一個開源的，使用Golang編寫，支持HTTP/2的Web服務端。它使用Golang標準庫提供HTTP功能。

Caddy

原作者	Matthew Holt
首次發布	2015年4月28日，​10年前​（2015-04-28）
當前版本	2.10.0（2025年4月18日；穩定版本）[1]
源代碼庫	github.com/caddyserver/caddy
編程語言	Go
操作系統	Android，BSD variants，Linux，OS X及Windows
類型	Web服務器, 反向代理服務器
許可協議	Apache許可證2.0
網站	官方網站

Caddy一個顯著的特性是默認啟用HTTPS^[2][3]。它是第一個無需額外配置即可提供HTTPS特性的Web服務器^[4]。

作者Matt Holt於2014年12月開始開發Caddy，並於2015年4月發布第一個版本。^[5]在發布後的一年裡，它的下載量超過了20000次，並在GitHub上獲得了4500個Star。^[6]

Caddy支持各種Web技術，提供靜態編譯的二進制文件，支持i386、amd64和ARM架構上的Windows、Mac、Linux、Android和BSD操作系統。

功能

Caddy可以提供各種網站技術，它也可以作為反向代理和負載均衡器。Caddy的大部分功能都以中間件的形式實現，並通過Caddyfile中的指令（用於配置Caddy的文本文件）進行控制。^[7]

• HTTP/1.1（原始的HTTP）以及HTTP/2（HTTPS的推薦連接方案）
• HTTPS，同時接受自動簽發和手動管理
  • TLS 1.2臨時性支持（舊協議）^[8]
  • SNI
  • OCSP證書交換驗證
• 虛擬主機 (多個站點工作在單個端口上)^[9]
• 原生IPv4和IPv6支持
• 靜態文件分發
• 平滑重啟/重載
• 反向代理（HTTP或WebSocket）
• 負載均衡和健康性檢查
• FastCGI支持^[10][11]
• 配置文件模板
• Markdown渲染
• CGI通過WebSocket
• Gzip壓縮
• 簡單服務器鑒權
• URL重寫
• 重定向
• 文件瀏覽服務
• 訪問日誌
• 實驗性QUIC支持

安全

Caddy免於很多已知的CVEs攻擊（包括 Heartbleed、DROWN、POODLE和BEAST）^[12]，另外，Caddy使用TLS_FALLBACK_SCSV以防止協議降級攻擊。

2015年6月2日，版本0.7.1修復了Caddy簡單服務器鑒權中間件中時間欺詐攻擊的漏洞。^[13]

關於協議和密碼套件，Caddy使用TLS 1.0-1.2，並且傾向於ECDHE ECDSA與AES256-GCM-SHA384，支持十幾種不同的加密方式。Cloudflare已經使用了Caddy作為TLS 1.3的實現方案。^[14]

傳統的特權降級無法工作在Golang程序上。^[15] 為了綁定低於1024的端口，Caddy必須使用root賬戶運行 (不建議) 或通過setcap給予低位端口使用權限（建議的）。並且，在將來的版本中會嘗試使用非特級子進程運行。^[16]

Caddy沒有自動啟動HTTP Strict Transport Security，推薦通過Caddy的header配置啟用HSTS。^[17]

自動簽發 HTTPS

Caddy默認通過檢查域名來啟用HTTPS (通過ACME protocol檢查域名並簽發證書)，並且重定向HTTP請求到HTTPS。^[18] 它在啟動期間根據需要簽發證書，並在服務器的使用期間自動重簽發。Let's Encrypt是默認的證書頒發機構，但用戶可以自定義所使用的ACME CA，這在測試配置時是必要的。在2016年第一季度，有百分之二的Let's Encrypt證書是由Caddy簽發的。

一個可選的配置允許Caddy在需要時簽發一個證書「按需 TLS」^[19]使用這種方案時，用戶必須指定可通過該方案配置的證書數量。當Caddy收到一個沒有配置證書的請求時，它會自動通過ACME簽發並配置，然後將證書存儲於內存和硬盤。這個過程通常需要幾秒鐘的時間，並且受到限制。

當使用TLS，Caddy會自動切換會話密鑰以保證安全性。^[20]