web-dev-qa-db-ja.com

Certbot /.well-known/acme-challenge

/.well-known/acme-challengeを常にサーバーに公開したままにしておく必要がありますか? HTTPの設定は次のとおりです。

server {
 listen 80;

 location '/.well-known/acme-challenge' {
    root        /var/www/demo;
  }

 location / {
          if ($scheme = http) {
            return 301 https://$server_name$request_uri;
          }
 }

Acme-challenge(自動更新用)を除き、基本的にすべてのリクエストをhttpsにリダイレクトします。私の質問:場所 '/.well-known/acme-challenge'を常にポート80で公開しても大丈夫ですか?または、証明書を再発行する必要がある場合、手動でコメント/コメント解除する方が良いですか?それにセキュリティ上の問題はありますか?

この場所についてのアドバイスやリンクを歓迎します。ありがとう!

13
Ilya

このIPアドレスへのドメインの検証にのみ必要なAcmeチャレンジリンク

7

証明書に署名した後は、トークンを使用可能にする必要はありません。ただし、 Certbotのエンジニアによる説明 のように、利用可能にしておいてもそれほど害はありません。

トークンは、サーバーが検証を試行した後、ACMEサーバーの観点からはアクティブではなくなった特定のチャレンジの一部です。証明書を取得する方法についての少しの情報が明らかになりますが、他の誰かがあなたのサイトの証明書を発行したり、あなたになりすましてはいけません。

6
natevw

誰かがこれが役立つと思う場合、私はちょうどホスティングカスタマーサポートに尋ね、彼らはそれを次のように説明しました...

はい、AutoSSLの目的でドメインを検証するために、cPanelによって「既知の」フォルダーが自動的に作成されます。 AutoSSLはcPanel/WHMの追加機能であり、ドメイン用の無料のSSL証明書を提供します。これは自己署名SSL証明書とも呼ばれます。 AutoSSLインストールの一部としてドメイン検証プロセスの間に作成された.well-knownフォルダー

削除する必要があるのはファイルではなく、問題は発生しません。

1
Oliver M Grech