<div dir="ltr"><div class="gmail_default" style="font-size:small;color:rgb(51,51,153)">This script has nothing to do with nginx, it is the one used for certificate request generation to Let's Encrypt.<br><br></div><div class="gmail_default" style="font-size:small;color:rgb(51,51,153)">They intend to use certificate with shorter and shorter lifespans as the process is considered more and more robust, to fight against compromised certificates in the wild. Thus, automating the process is a good idea as manual installation could become a huge burden, not to mention manual request/generation.<br></div><div class="gmail_default" style="font-size:small;color:rgb(51,51,153)">For the moment, the only way with nginx is to only request certificates and install them yourself manually afterwards. It could be automated somehow, depending on the Let's Encrypt script outcome, and then moving certificate files around + issuing nginx reload. It might be a compromise to avoid generated certificates go live without your own proper validation.<br></div><div class="gmail_default" style="font-size:small;color:rgb(51,51,153)"><br></div><div class="gmail_default" style="font-size:small;color:rgb(51,51,153)">I suggest you complain about the use of python on the <a href="https://community.letsencrypt.org/">Let's Encrypt board</a> directly. I was merely trying to bring the attention of nginx experts on this topic, as a thorough understanding of nginx' way of working is in my eyes necessary. Your complaint has little impact/use here.<br><br></div><div class="gmail_default" style="font-size:small;color:rgb(51,51,153)">For the security concern you are talking about, the fact <a href="https://github.com/letsencrypt/letsencrypt">the script is open-source and provided to the eyes of the whole world</a> allows you to carefully review its code before using it, as one should do it. Open-source works only if you validate libraries you use (or if you take the risk the community does it for you, with no complaint from your side then).<br></div><div class="gmail_extra"><div><div class="gmail_signature"><font size="1"><span style="color:rgb(102,102,102)">---<br></span><b><span style="color:rgb(102,102,102)">B. R.</span></b><span style="color:rgb(102,102,102)"></span></font></div></div>
<br><div class="gmail_quote">On Wed, Nov 11, 2015 at 4:07 PM, 173279834462 <span dir="ltr"><<a href="mailto:nginx-forum@nginx.us" target="_blank">nginx-forum@nginx.us</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">> They are currently struggling with their nginx module,<br>
> allowing a certificate to be automatically installed on nginx.<br>
<br>
</span>Would you really use that script?<br>
<br>
1. It requires python. --- I do not have python on my server,<br>
and I have no intention to install it. You can kick and scream,<br>
but that will not change my decision. If nginx will demand<br>
python to run, I will drop nginx for something I trust more.<br>
<br>
2. Assuming *you* have python on board, and something<br>
breaks. Say, the script is hacked and you server installs<br>
something else than your intended certificate. Are you<br>
ready to pay for the damages?<br>
<br>
Posted at Nginx Forum: <a href="https://forum.nginx.org/read.php?2,262697,262746#msg-262746" rel="noreferrer" target="_blank">https://forum.nginx.org/read.php?2,262697,262746#msg-262746</a><br>
<br>
_______________________________________________<br>
nginx mailing list<br>
<a href="mailto:nginx@nginx.org">nginx@nginx.org</a><br>
<a href="http://mailman.nginx.org/mailman/listinfo/nginx" rel="noreferrer" target="_blank">http://mailman.nginx.org/mailman/listinfo/nginx</a><br>
</blockquote></div><br></div></div>