чт, 7 июл. 2022 г. в 14:18, Evgeniy Berdnikov <bgx@protva.ru>:
> On Thu, Jul 07, 2022 at 01:19:01AM +0300, Maxim Dounin wrote:
> > Документация на сайте предлагает "certbot --apache" в качестве
> > основного варианта использования (например, тут:
> > https://certbot.eff.org/instructions?ws=apache&os=ubuntufocal), и
> > дальше уже не важно, какие ещё варианты есть: заметный процент
> > пользователей будет делать именно то, что сказали. И получать
> > предсказуемый (точнее, непредсказуемый) результат.
>
> Вставлю свои 2 копейки. Certbot пытается хоть как-то помочь чайникам.
> А для чайника, как для маленького ребёнка, весь мир -- бесконечное
> нагромождение проблем. Чайнику в паре строк конфига разобраться трудно,
> спасти предыдущую конфигурацию он не додумается, работу http-сервера
> он представляет себе смутно, а уж PKI и X509 это вообще ужас...
> Смешная вроде задача "выставить в интернет свою страничку так, чтобы
> гугл и яндекс не опустили сходу в рейтинге" становится неподъёмной.
>
> Certbot предлагает решение, работающее для дефолтных конфигураций
> наиболее популярных дистрибутивов. Понятно, что это решение для чайников,
> но писать явно об этом нельзя, чтобы не травмировать психику детей. :)
> Главное, это не единственный вариант у certbot'a.
>
> > И нет, наличие проблемы "авторы считают возможным менять конфиги"
> > в одном из вариантов использования - не означает, что в других
> > вариантах использования проблем нет. Наличие такой проблемы
> > означает, что авторы не понимают проблему,
>
> Может быть, понимают... Но одно дело написать код, а другое -- написать
> адекватную документацию к нему, которая будет одинково удобна и полезна
> как для новичка, так и для эксперта.
>
> Certbot в вариантах, не предполагающих правки конфигов, вполне себе
> работает. Можно сказать, "поставил и забыл".
>
> Думаю, для командны Nginx было бы неплохо вставить в дистрибутивный
> конфиг некую заготовку для "location /.well-known/acme-challenge {..}",
>
с документированием механизмов интеграции ACME с веб-серверами вообще не
хватает качественной документации.
например, мы партизанским способом узнали, что можно из
.well-known/acme-challenge редиректить по 301, и таким образом,
сильно централизовать и упростить внедрение lets encrypt
> и написать там комментарии как ею пользоваться. Возможно, пообщаться
> ещё с писателями certbot'a, чтобы вместе с ними сделать использование
> этой заготовки удобным и безопасным. Тогда всем новичкам станет легче.
> --
> Eugene Berdnikov
> _______________________________________________
> nginx-ru mailing list -- nginx-ru@nginx.org
> To unsubscribe send an email to nginx-ru-leave@nginx.org
>
_______________________________________________
nginx-ru mailing list -- nginx-ru@nginx.org
To unsubscribe send an email to nginx-ru-leave@nginx.org