O Nginx Proxy Manager (NPM) acaba de receber a versão v2.13.6, trazendo uma melhoria muito aguardada por quem administra proxies reversos: 2FA nativo via TOTP no dashboard. Além disso, o projeto atualizou o React para mitigar a CVE-2025-55182, o que torna esta atualização especialmente recomendada para ambientes onde o painel fica acessível pela rede, mesmo que atrás de VPN ou de um proxy de borda.
Destaques da versão
- TOTP como autenticação em dois fatores (compatível com Google Authenticator e Microsoft Authenticator)
- Opção de chave ECDSA ou RSA ao criar certificados
- Atualização do React para corrigir a CVE-2025-55182
- Novos plugins DNS e ajustes em desafios DNS
- Melhorias de logs e ajustes de UX e localização
Autenticação em dois fatores (finalmente!)
Até aqui, quem queria reforçar a proteção do painel do NPM normalmente dependia de camadas externas, como Authelia, OAuth via proxy, regras adicionais no reverse proxy, ou até restrições pesadas por IP. Com o TOTP nativo, o Nginx Proxy Manager passa a oferecer um segundo fator diretamente no fluxo de login do dashboard, reduzindo a dependência de componentes extras e padronizando a prática de hardening.
Isso é particularmente relevante em cenários comuns, como:
- painel publicado para administração remota (mesmo que em subdomínio “secreto”);
- ambientes com múltiplos administradores;
- instalações em VPS expostas à internet;
- homelabs com acesso externo via NAT e DDNS.
Na prática, 2FA nativo diminui o impacto de vazamento de senha e reduz a superfície de ataque do painel administrativo, que é um alvo recorrente em varreduras automatizadas.
RSA vs ECDSA
Outra melhoria importante para quem emite certificados diretamente pelo NPM é a possibilidade de escolher o tipo de chave ao criar certificados: RSA ou ECDSA.
Em termos práticos:
- RSA é amplamente compatível e tradicional, mas tende a ser mais pesado computacionalmente.
- ECDSA costuma entregar melhor eficiência (chaves menores, handshake mais leve) mantendo um nível de segurança forte, especialmente interessante para servidores com alta taxa de conexões TLS ou hardware mais modesto.
Com essa opção no fluxo de criação, fica mais simples alinhar performance e política criptográfica sem precisar “sair do NPM” para gerar chaves manualmente.
Outras melhorias do v2.13.6
A versão também traz uma sequência de melhorias operacionais e de ecossistema:
- logging para streams com base na porta (útil para rastreabilidade e troubleshooting);
- aumento do tempo máximo de propagação para 7200 segundos, ajudando em validações DNS mais lentas;
- novos plugins e integrações relacionadas a DNS e certificados:
- plugin certbot para Glesys;
- configuração de DDNS para Hurricane Electric;
- plugin DNS para provedor All-Inkl;
- suporte a desafios DNS com Simply.com;
- ajustes de interface e internacionalização (melhor exibição de data/hora conforme localidade, novos idiomas e atualizações de traduções).
Atualize agora
Para quem roda o NPM via Docker, as imagens publicadas incluem:
jc21/nginx-proxy-manager:2.13.6jc21/nginx-proxy-manager:2jc21/nginx-proxy-manager:latest
Exemplo típico com Docker Compose (ajuste o seu docker-compose.yml para a tag desejada):
services:
npm:
image: jc21/nginx-proxy-manager:2.13.6
restart: unless-stopped
ports:
- "80:80"
- "81:81"
- "443:443"
volumes:
- ./data:/data
- ./letsencrypt:/etc/letsencryptDepois, aplique a atualização:
docker compose pull
docker compose up -dRecomendação operacional: antes de atualizar, garanta backup do volume de dados (especialmente banco e configurações). Em seguida, valide o acesso ao dashboard e revise rapidamente os fluxos de login e de emissão/renovação de certificados, agora com a opção de ECDSA.
Conclusão
Com TOTP nativo e correção associada à CVE-2025-55182, o Nginx Proxy Manager v2.13.6 é uma atualização que vale prioridade. Em ferramentas que ficam na linha de frente da infraestrutura, manter o stack de proxy reverso atualizado não é “capricho”, é postura básica de segurança e confiabilidade operacional.
FAQ
Como ativar o 2FA no Nginx Proxy Manager?
Após atualizar para a v2.13.6, acesse o dashboard com sua conta admin e procure a opção de configuração de TOTP nas preferências de autenticação/segurança do usuário. Em seguida, faça o pareamento com um app como Google Authenticator ou Microsoft Authenticator e confirme o código gerado.
Qual a diferença entre certificado RSA e ECDSA?
RSA é o padrão mais tradicional e muito compatível, mas pode ser mais custoso em desempenho. ECDSA tende a ser mais eficiente (chaves menores e operações mais leves) mantendo forte segurança, o que pode ajudar em servidores com muitas conexões TLS.
Como atualizar o Nginx Proxy Manager no Docker?
Atualize a imagem no Compose para jc21/nginx-proxy-manager:2.13.6 (ou use :2/:latest, se preferir), e execute docker compose pull seguido de docker compose up -d.
