У меня есть certbot, включающий автоматическое обновление, которое используется в нескольких установках с клиентами.
Я читал здесь:
здесь
и тут
https://github.com/certbot/certbot/issues/5405
а также здесь:
Кажется, все говорят что-то немного другое
и не дано четкого объяснения.
Читал в стандартном описании установки certbot
Документы для продления указывают здесь:
https://certbot.eff.org/docs/using.html#renewal
но: старый уязвимый метод tls-sni-01
все еще указан
Я пытаюсь резюмировать:
В руководствах по устранению существующих проблем на существующих серверах:
они рекомендуют останавливать и запускать сервер при обновлении. Но ... это нехорошо. Что, если некоторая конфигурация сломается, и сервер перестанет запускаться, когда я сплю? Сервер будет недоступен. Или что-то похуже. Я не эксперт DevOps, но запуск и остановка сервера более или менее случайным образом не кажутся хорошим решением. Я ошибаюсь в этом?
В качестве альтернативы я вижу только подключаемый модуль webroot, который не использует tls-sni-01
. https://certbot.eff.org/docs/using.html#webroot
это кажется мне единственным надежным способом.
Я что-то упускаю? нам в основном говорят использовать плагин webroot?
поскольку все остальные используют tls-sni-01, они не автоматизированы (вы можете сделать это вручную, но я на самом деле не хочу) или не требуют, чтобы у вас уже был работающий сервер (автономный).
Это для будущих серверов. Я предполагаю, что продление существующих доменов продолжит работать со старым tls-sni-01
, это то, о чем они, похоже, говорят.