Hacker News 中文摘要

RSS订阅

Tailscale状态文件加密默认不再启用 -- Tailscale state file encryption no longer enabled by default

原文链接 | HN讨论 | 2026-01-08 06:52:26

文章摘要

Tailscale更新至v1.92.5版本,主要调整了Linux和Windows客户端中状态文件加密和硬件认证密钥的默认设置,并修复了相关问题。同时发布了新的容器镜像和Kubernetes操作符版本,改进了密钥管理和节点迁移功能。

文章总结

Tailscale 更新日志概览

隐私与使用条款 - Tailscale尊重用户隐私,提供隐私政策说明数据收集和使用方式 - 用户可选择拒绝所有或自定义隐私设置

产品功能 - 提供企业级VPN、零信任网络等解决方案 - 支持Docker、Kubernetes等平台集成 - 提供跨平台客户端(Windows/macOS/Linux/iOS/Android等)

主要更新内容(2025-2026年精选)

2026年1月 - v1.92.5版本: - Linux/Windows默认禁用硬件认证密钥 - 容器镜像支持Kubernetes节点变更 - Kubernetes Operator改进证书续订流程 - 新增工作负载身份联邦API

2025年重要更新 - 可视化策略编辑器正式发布 - 多Tailnet管理功能(alpha) - 对等中继功能(beta) - 新增赫尔辛基DERP服务器区域 - 工作负载身份联邦(beta) - 设备健康属性API增强

安全更新 - 修复多个安全漏洞(如TS-2025-008) - 改进节点密钥签名验证 - 新增防火墙IP范围(IPv4 199.165.136.0/24等)

平台支持 - 停止支持macOS 10.15 Catalina - Windows 7/8最终支持版本v1.44.2 - 新增QNAP、TrueNAS等平台支持 - 容器镜像提供ARM/ARM64版本

企业功能 - 设备状态管理正式发布 - 支持CrowdStrike等安全集成 - SCIM用户同步(Google Workspace/Microsoft Entra ID) - 新增账单管理员角色 - 配置审计日志正式发布

网络改进 - MagicDNS正式发布 - 4via6子网路由正式发布 - 区域路由优化 - 新增DERP服务器区域(迪拜/华沙等)

开发者工具 - Terraform Provider更新 - GitHub Action增强 - 新增API端点(设备/用户管理等) - Kubernetes Operator正式发布

移动端 - iOS客户端重设计 - Android TV支持 - 新增快捷指令集成

完整更新内容请参考官网更新日志,保留技术细节但删除了重复内容和非关键信息。

评论总结

以下是评论内容的总结:

  1. 功能变更说明
    Tailscale在1.92.5版本中取消了默认启用节点状态加密和硬件认证密钥的功能,回退到1.90.2之前的设置,用户需手动开启。

    • "Previously with Tailscale 1.90.2 or later node state storage encrypted by default"
    • "As of yesterday... state file encryption... are no longer enabled by default"

  2. 变更原因推测
    多数评论认为默认加密导致过多技术支持和兼容性问题,尤其是TPM设备的可靠性问题。

    • "Guessing it was too support intensive? Caused too many issues"
    • "TPMs are not reliable for non-malicious reasons"

  3. 开发者解释
    开发者确认因TPM设备在异构环境中的不可预测性(如重置、替换或兼容性问题)导致支持压力,故改为手动启用。

    • "this feature is too support intensive... TPMs are not reliable for non-malicious reasons"
    • "Tailscale users have is very difficult to support out of the box"

  4. 用户反馈
    部分用户支持变更(如旧硬件用户),但也有人担忧安全妥协,希望未来重新默认启用。

    • "Thank god... on some really old hardware and I kept crashing"
    • "I’d love to... believe this isn’t attempting to satisfy ease-of-surveillance concerns"

  5. 操作建议
    Linux用户可通过修改配置文件手动启用加密功能。

    • "update /etc/default/tailscaled with: FLAGS=\"--encrypt-state\""

总结:变更主要出于技术支持和兼容性考量,但安全与易用性的平衡仍存争议。