certbot

[Илья Шипицин]

чт, 7 июл. 2022 г. в 14:18, Evgeniy Berdnikov <bgx на protva.ru>:

> On Thu, Jul 07, 2022 at 01:19:01AM +0300, Maxim Dounin wrote:
> > Документация на сайте предлагает "certbot --apache" в качестве
> > основного варианта использования (например, тут:
> > https://certbot.eff.org/instructions?ws=apache&os=ubuntufocal), и
> > дальше уже не важно, какие ещё варианты есть: заметный процент
> > пользователей будет делать именно то, что сказали.  И получать
> > предсказуемый (точнее, непредсказуемый) результат.
>
>  Вставлю свои 2 копейки. Certbot пытается хоть как-то помочь чайникам.
>  А для чайника, как для маленького ребёнка, весь мир -- бесконечное
>  нагромождение проблем. Чайнику в паре строк конфига разобраться трудно,
>  спасти предыдущую конфигурацию он не додумается, работу http-сервера
>  он представляет себе смутно, а уж PKI и X509 это вообще ужас...
>  Смешная вроде задача "выставить в интернет свою страничку так, чтобы
>  гугл и яндекс не опустили сходу в рейтинге" становится неподъёмной.
>
>  Certbot предлагает решение, работающее для дефолтных конфигураций
>  наиболее популярных дистрибутивов. Понятно, что это решение для чайников,
>  но писать явно об этом нельзя, чтобы не травмировать психику детей. :)
>  Главное, это не единственный вариант у certbot'a.
>
> > И нет, наличие проблемы "авторы считают возможным менять конфиги"
> > в одном из вариантов использования - не означает, что в других
> > вариантах использования проблем нет.  Наличие такой проблемы
> > означает, что авторы не понимают проблему,
>
>  Может быть, понимают... Но одно дело написать код, а другое -- написать
>  адекватную документацию к нему, которая будет одинково удобна и полезна
>  как для новичка, так и для эксперта.
>
>  Certbot в вариантах, не предполагающих правки конфигов, вполне себе
>  работает. Можно сказать, "поставил и забыл".
>
>  Думаю, для командны Nginx было бы неплохо вставить в дистрибутивный
>  конфиг некую заготовку для "location /.well-known/acme-challenge {..}",
>

с документированием механизмов интеграции ACME с веб-серверами вообще не
хватает качественной документации.

например, мы партизанским способом узнали, что можно из
.well-known/acme-challenge редиректить по 301, и таким образом,
сильно централизовать и упростить внедрение lets encrypt


>  и написать там комментарии как ею пользоваться. Возможно, пообщаться
>  ещё с писателями certbot'a, чтобы вместе с ними сделать использование
>  этой заготовки удобным и безопасным. Тогда всем новичкам станет легче.
> --
>  Eugene Berdnikov
> _______________________________________________
> nginx-ru mailing list -- nginx-ru на nginx.org
> To unsubscribe send an email to nginx-ru-leave на nginx.org
>
----------- следующая часть -----------
Вложение в формате HTML было извлечено…
URL: <http://mailman.nginx.org/pipermail/nginx-ru/attachments/20220707/7aaded11/attachment.htm>