web-dev-qa-db-fra.com

Certbot /.well-known/acme-challenge

Dois-je laisser le /.well-known/acme-challenge toujours exposé sur le serveur? Voici ma configuration pour le HTTP:

server {
 listen 80;

 location '/.well-known/acme-challenge' {
    root        /var/www/demo;
  }

 location / {
          if ($scheme = http) {
            return 301 https://$server_name$request_uri;
          }
 }

Ce qui redirige essentiellement toutes les demandes vers https, à l'exception de l'acme-challenge (pour le renouvellement automatique). Ma question: est-il correct de garder toujours l'emplacement '/.well-known/acme-challenge' exposé sur le port 80? Ou mieux pour le commenter/décommenter manuellement, lorsque vous devez réémettre le certificat? Y a-t-il des problèmes de sécurité avec cela?

Tout conseil ou lien à lire sur cet emplacement apprécié. Merci!

13
Ilya

Lien de défi Acme nécessaire uniquement pour vérifier le domaine à cette adresse IP

7
Renjith Thankachan

Vous n'avez pas besoin de garder le jeton disponible une fois votre certificat signé. Cependant, il n'y a pas beaucoup de mal à le laisser disponible non plus, car expliqué par un ingénieur Certbot :

Le jeton fait partie d'un défi particulier qui n'est plus actif, du point de vue du serveur ACME, après que le serveur a tenté de le valider. Cela révélerait un peu d'informations sur la façon dont vous obtenez des certificats, mais ne devrait pas permettre à quelqu'un d'autre d'émettre des certificats pour votre site ou de vous faire passer pour vous.

6
natevw

Au cas où quelqu'un trouverait cela utile, je viens de demander à mon service client d'hébergement et ils l'ont expliqué comme suit ...

Oui, le dossier "bien connu" est automatiquement créé par cPanel afin de valider votre domaine à des fins AutoSSL. AutoSSL est une fonctionnalité supplémentaire de cPanel/WHM qui vous offre un certificat SSL gratuit pour vos domaines, également connu sous le nom de certificat SSL auto-signé. Le dossier .well-known créé pendant le temps du processus de validation de domaine dans le cadre de l'installation d'AutoSSL

Et ce n'est pas le fichier qui doit être supprimé, cela ne pose aucun problème.

1
Oliver M Grech