<div dir="ltr"><div dir="ltr"><br></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">чт, 7 июл. 2022 г. в 14:18, Evgeniy Berdnikov <<a href="mailto:bgx@protva.ru">bgx@protva.ru</a>>:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">On Thu, Jul 07, 2022 at 01:19:01AM +0300, Maxim Dounin wrote:<br>
> Документация на сайте предлагает "certbot --apache" в качестве <br>
> основного варианта использования (например, тут: <br>
> <a href="https://certbot.eff.org/instructions?ws=apache&os=ubuntufocal" rel="noreferrer" target="_blank">https://certbot.eff.org/instructions?ws=apache&os=ubuntufocal</a>), и <br>
> дальше уже не важно, какие ещё варианты есть: заметный процент <br>
> пользователей будет делать именно то, что сказали.  И получать <br>
> предсказуемый (точнее, непредсказуемый) результат.<br>
<br>
 Вставлю свои 2 копейки. Certbot пытается хоть как-то помочь чайникам.<br>
 А для чайника, как для маленького ребёнка, весь мир -- бесконечное<br>
 нагромождение проблем. Чайнику в паре строк конфига разобраться трудно,<br>
 спасти предыдущую конфигурацию он не додумается, работу http-сервера<br>
 он представляет себе смутно, а уж PKI и X509 это вообще ужас...<br>
 Смешная вроде задача "выставить в интернет свою страничку так, чтобы<br>
 гугл и яндекс не опустили сходу в рейтинге" становится неподъёмной.<br>
<br>
 Certbot предлагает решение, работающее для дефолтных конфигураций<br>
 наиболее популярных дистрибутивов. Понятно, что это решение для чайников,<br>
 но писать явно об этом нельзя, чтобы не травмировать психику детей. :)<br>
 Главное, это не единственный вариант у certbot'a.<br>
<br>
> И нет, наличие проблемы "авторы считают возможным менять конфиги" <br>
> в одном из вариантов использования - не означает, что в других <br>
> вариантах использования проблем нет.  Наличие такой проблемы <br>
> означает, что авторы не понимают проблему,<br>
<br>
 Может быть, понимают... Но одно дело написать код, а другое -- написать<br>
 адекватную документацию к нему, которая будет одинково удобна и полезна<br>
 как для новичка, так и для эксперта.<br>
<br>
 Certbot в вариантах, не предполагающих правки конфигов, вполне себе<br>
 работает. Можно сказать, "поставил и забыл".<br>
<br>
 Думаю, для командны Nginx было бы неплохо вставить в дистрибутивный<br>
 конфиг некую заготовку для "location /.well-known/acme-challenge {..}",<br></blockquote><div><br></div><div>с документированием механизмов интеграции ACME с веб-серверами вообще не хватает качественной документации.<br></div><div><br></div><div>например, мы партизанским способом узнали, что можно из .well-known/acme-challenge редиректить по 301, и таким образом,</div><div>сильно централизовать и упростить внедрение lets encrypt</div><div> <br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
 и написать там комментарии как ею пользоваться. Возможно, пообщаться<br>
 ещё с писателями certbot'a, чтобы вместе с ними сделать использование<br>
 этой заготовки удобным и безопасным. Тогда всем новичкам станет легче.<br>
-- <br>
 Eugene Berdnikov<br>
_______________________________________________<br>
nginx-ru mailing list -- <a href="mailto:nginx-ru@nginx.org" target="_blank">nginx-ru@nginx.org</a><br>
To unsubscribe send an email to <a href="mailto:nginx-ru-leave@nginx.org" target="_blank">nginx-ru-leave@nginx.org</a><br>
</blockquote></div></div>