Certbot /.well-known/acme-challenge

Должен ли я оставить /.well-known/acme-challenge всегда открытым на сервере? Вот моя конфигурация для HTTP:

server {
 listen 80;

 location '/.well-known/acme-challenge' {
    root        /var/www/demo;
  }

 location / {
          if ($scheme = http) {
            return 301 https://$server_name$request_uri;
          }
 }

Что в основном перенаправляет все запросы на https, за исключением acme-challenge (для автоматического продления). Мой вопрос: можно ли, чтобы местоположение '/.well-known/acme-challenge' всегда отображалось на 80-м порту? Или лучше прокомментировать / раскомментировать его вручную, когда нужно перевыпустить сертификат? Есть ли здесь какие-либо проблемы с безопасностью?

Любые советы или ссылки для чтения об этом месте приветствуются. Спасибо!


nginx lets-encrypt certbot
person Ilya    schedule 23.01.2017    source источник

Ответы (4)


arrow_upward
11
arrow_downward

Ссылка Acme Challenge необходима только для подтверждения домена на этот IP-адрес

person Renjith Thankachan    schedule 23.01.2017
comment
Я также читал, что он используется для временных файлов во время проверки, а затем удаляет их. Думаю, это правильный ответ. Спасибо! - person Ilya; 23.01.2017
comment
Когда проверяем? Только один раз получить сертификат? Или это снова нужно? Если это необходимо только для получения сертификата, то, я полагаю, вы можете безопасно удалить каталог .well-known ...? - person PJ Brunet; 15.07.2019
comment
Да, вы можете удалить его после получения сертификата, но эта папка вам понадобится во время продления! - person Renjith Thankachan; 15.07.2019

arrow_upward
8
arrow_downward

Вам не нужно держать токен доступным после подписания сертификата. Однако нет большого вреда в том, чтобы оставить его доступным, так как объяснил инженер Certbot:

Маркер является частью особого запроса, который больше не активен с точки зрения сервера ACME после того, как сервер попытался проверить его. Он раскрыл бы небольшую информацию о том, как вы получаете сертификаты, но не должен позволять кому-то другому выдавать сертификаты для вашего сайта или выдавать себя за вас.

person natevw    schedule 09.06.2017

arrow_upward
1
arrow_downward

Если кто-то сочтет это полезным, я просто спросил у службы поддержки своего хостинга, и они объяснили это следующим образом ...

Да, «широко известная» папка автоматически создается cPanel для проверки вашего домена для целей AutoSSL. AutoSSL - это дополнительная функция cPanel / WHM, которая предлагает вам бесплатный сертификат SSL для ваших доменов, также известный как самозаверяющий сертификат SSL. Известная папка, созданная во время процесса проверки домена в рамках установки AutoSSL.

И это не файл, который нужно удалить, это не вызывает никаких проблем.

person Oliver M Grech    schedule 06.11.2018

arrow_upward
-6
arrow_downward

Точка перед именем файла (.well-known) означает, что это скрытый каталог. Если ваш сервер будет взломан, информация станет доступна хакеру.

person xtreme deals    schedule 16.04.2017
comment
Извините, я имел в виду скрытый каталог. - person xtreme deals; 17.04.2017
comment
Вы можете использовать stackoverflow.com/posts/43443282/edit для редактирования / обновления своего ответа. - person sideshowbarker; 17.04.2017