Welcome! Log In Create A New Profile

Advanced

Re: certbot

Maxim Dounin
July 06, 2022 06:20PM
Hello!

On Wed, Jul 06, 2022 at 11:38:52PM +0300, Gena Makhomed wrote:

> On 06.07.2022 22:00, Maxim Dounin wrote:
>
> >>>>> Отмечу, что если сертификаты обновлялись с помощью Certbot, то он
> >>>>> при обновлении модифицирует конфиги nginx'а (а потом возвращает
> >>>>> всё "как было"). Это может заканчиваться, скажем так, неожиданно.
> >>>>> Лично я рекомендую для выпуска сертификатов использовать
> >>>>> Dehydrated и необходимые дополнения в конфиг прописывать руками.
> >>
> >>>> certbot так криво себя ведет только в дефолтовой конфигурации.
> >>
> >>> Этого достаточно, чтобы им не пользоваться. И уж тем более не
> >>> рекомендовать другим, ибо они с вероятностью, близкой к 100%,
> >>> будут использовать его именно в конфигурации по умолчанию.
>
> Максим, я ошибся.
> В дефолтовой конфигурации он себя ведет несколько иначе.
>
> При установке пакета certbot и в RHEL-дистрибутивах и в Ubuntu
> плагины для модификации конфигов nginx и apache не устанавливаются.
>
> Если кто-то хочет их использовать - они устанавливаются отдельно,
> с помощью пакетов python3-certbot-nginx и python3-certbot-apache
>
> И даже в том случае, если эти плагины установлены - они по умолчанию,
> насколько я понимаю, не активируются - необходимо в командной строке
> задать соответствующий параметр активации плагина: --nginx или --apache
>
> Cлучайно испортить с certbot конфиг nginx или apache не получится -
> каждый пользователь делает это вполне осознанно и целенаправленно,
> вручную устанавливая на сервер и активируя соответствующий плагин.
>
> > Я могу рекомендовать Dehydrated, он сделан хорошо и просто
> > работает. И не могу рекомендовать Certbot, там проблема дизайна:
> > конфиг сервера нельзя менять, не понимая всех аспектов работы
> > этого конфига (и тем более нельзя менять в фоне и не говоря об
> > этом пользователю), а авторы Certbot'а этого явного не понимают.
>
> Проблема дизайна, о которой Вы говорите, есть только у двух плагинов:
> nginx и apache. Остальные плагины (standalone, manual, webroot, dns-*)
> работают очень даже хорошо, и к ним ведь у Вас нет никаких претензий?

Документация на сайте предлагает "certbot --apache" в качестве
основного варианта использования (например, тут:
https://certbot.eff.org/instructions?ws=apache&os=ubuntufocal), и
дальше уже не важно, какие ещё варианты есть: заметный процент
пользователей будет делать именно то, что сказали. И получать
предсказуемый (точнее, непредсказуемый) результат.

И нет, наличие проблемы "авторы считают возможным менять конфиги"
в одном из вариантов использования - не означает, что в других
вариантах использования проблем нет. Наличие такой проблемы
означает, что авторы не понимают проблему, и что там ещё и где
разложено или будет разложено в будущем - неизвестно. И лично я
предпочитаю пользоваться тем, что работает, и рекомендовать его
же.

--
Maxim Dounin
http://mdounin.ru/
_______________________________________________
nginx-ru mailing list -- nginx-ru@nginx.org
To unsubscribe send an email to nginx-ru-leave@nginx.org
Subject Author Posted

400 Bad Request The plain HTTP request was sent to HTTPS port

milov July 05, 2022 05:49AM

Re: 400 Bad Request The plain HTTP request was sent to HTTPS port

Илья Шипицин July 05, 2022 06:34AM

Re: 400 Bad Request The plain HTTP request was sent to HTTPS port

milov July 05, 2022 06:57AM

Re: 400 Bad Request The plain HTTP request was sent to HTTPS port

Илья Шипицин July 05, 2022 07:16AM

Re: 400 Bad Request The plain HTTP request was sent to HTTPS port

milov July 05, 2022 02:12PM

Re: 400 Bad Request The plain HTTP request was sent to HTTPS port

Maxim Dounin July 05, 2022 08:56AM

certbot

Gena Makhomed July 05, 2022 03:10PM

Re: certbot

Maxim Dounin July 05, 2022 05:54PM

Re: certbot

Gena Makhomed July 06, 2022 02:02AM

Re: certbot

Maxim Dounin July 06, 2022 03:02PM

Re: certbot

Gena Makhomed July 06, 2022 04:40PM

Re: certbot

Maxim Dounin July 06, 2022 06:20PM

Re: certbot

Evgeniy Berdnikov July 07, 2022 05:20AM

Re: certbot

Илья Шипицин July 07, 2022 05:42AM

Re: certbot

Evgeniy Berdnikov July 07, 2022 06:16AM

Re: certbot

Илья Шипицин July 07, 2022 06:40AM

Re: certbot

Dmitry Morozovsky July 20, 2022 01:00PM

Re: certbot

Maxim Dounin July 20, 2022 04:02PM

Re: certbot

Илья Шипицин July 21, 2022 06:44AM

Re: certbot

Илья Шипицин July 21, 2022 06:48AM

OCSP Must Staple

Gena Makhomed July 21, 2022 07:06AM

Re: OCSP Must Staple

Илья Шипицин July 21, 2022 07:14AM

Re: OCSP Must Staple

Maxim Dounin July 21, 2022 09:30PM

Re: certbot

raven_kg@megaline.kg July 06, 2022 02:10AM

Re: certbot

milov July 06, 2022 04:49AM

Re: certbot

Илья Шипицин July 06, 2022 07:46AM

Re: 400 Bad Request The plain HTTP request was sent to HTTPS port

milov July 05, 2022 03:40PM

Re: 400 Bad Request The plain HTTP request was sent to HTTPS port

Maxim Dounin July 05, 2022 07:06PM

Re: 400 Bad Request The plain HTTP request was sent to HTTPS port

milov July 05, 2022 07:20PM

Re: 400 Bad Request The plain HTTP request was sent to HTTPS port

Maxim Dounin July 05, 2022 09:54PM

long deprecated directives

Gena Makhomed July 06, 2022 01:18AM

Re: long deprecated directives

Maxim Konovalov July 06, 2022 02:30AM

Re: long deprecated directives

Maxim Dounin July 06, 2022 03:16PM

Re: 400 Bad Request The plain HTTP request was sent to HTTPS port

milov July 06, 2022 04:44AM

Re: 400 Bad Request The plain HTTP request was sent to HTTPS port

Maxim Dounin July 06, 2022 03:22PM

Re: 400 Bad Request The plain HTTP request was sent to HTTPS port

milov July 07, 2022 04:34AM

Re: 400 Bad Request The plain HTTP request was sent to HTTPS port

Антон Горлов via nginx-ru July 07, 2022 04:46AM

Re: 400 Bad Request The plain HTTP request was sent to HTTPS port

milov July 07, 2022 04:57AM

Re: 400 Bad Request The plain HTTP request was sent to HTTPS port

Maxim Dounin July 07, 2022 03:16PM

Re: 400 Bad Request The plain HTTP request was sent to HTTPS port

milov July 09, 2022 04:46AM

Re: 400 Bad Request The plain HTTP request was sent to HTTPS port

Maxim Dounin July 10, 2022 04:42AM

SSL_do_handshake() failed (SSL: error:141CF06C:SSL routines:tls_parse_ctos_key_share:bad key share) while SSL handshaking

Gena Makhomed July 11, 2022 02:08PM

Re: SSL_do_handshake() failed (SSL: error:141CF06C:SSL routines:tls_parse_ctos_key_share:bad key share) while SSL handshaking

Maxim Dounin July 11, 2022 09:26PM

Re: SSL_do_handshake() failed (SSL: error:141CF06C:SSL routines:tls_parse_ctos_key_share:bad key share) while SSL handshaking

Sergey Kandaurov July 12, 2022 07:54AM

Re: SSL_do_handshake() failed (SSL: error:141CF06C:SSL routines:tls_parse_ctos_key_share:bad key share) while SSL handshaking

Maxim Dounin July 12, 2022 10:00AM

[error] access forbidden by rule

Gena Makhomed July 12, 2022 09:48AM

Re: [error] access forbidden by rule

Илья Шипицин July 12, 2022 10:42AM

Re: [error] access forbidden by rule

Maxim Dounin July 12, 2022 10:52AM

Re: [error] access forbidden by rule

Gena Makhomed July 12, 2022 12:56PM

Re: [error] access forbidden by rule

Илья Шипицин July 12, 2022 01:14PM

[warn] a client request body is buffered to a temporary file

Gena Makhomed July 12, 2022 03:16PM

Re: [warn] a client request body is buffered to a temporary file

Илья Шипицин July 12, 2022 03:28PM

Re: [warn] a client request body is buffered to a temporary file

Gena Makhomed July 12, 2022 05:02PM

Re: [warn] a client request body is buffered to a temporary file

Илья Шипицин July 12, 2022 11:44PM

Re: [error] access forbidden by rule

Илья Шипицин July 12, 2022 01:18PM



Sorry, only registered users may post in this forum.

Click here to login

Online Users

Guests: 78
Record Number of Users: 6 on February 13, 2018
Record Number of Guests: 421 on December 02, 2018
Powered by nginx      Powered by FreeBSD      PHP Powered      Powered by MariaDB      ipv6 ready