> Первым делом я изучаю данные. Анализирую, что поступает на вход и на выходы, формат данных, их объём. Разбираюсь, как данные должны храниться во время выполнения и как они сохраняются: какие операции должны поддерживаться и с какой скоростью (скорость обработки, задержки) и т.д.
Вобщем, мне не подошел ООП, поэтому БЫСТРА переставайте его использовать )
> Но вы так и продолжите играть в секретики и не расскажете, что за баг?
Да не помню я подробности. Давно уже центос не обслуживаю. Замшелое г… пахнущее нафталином.
Там фишка в том что сертбот создает временный конфиг и включает его в текущий для проверки LE.
И там замут с регекспами (nginx конфиги), в итоге включался не туда и с вырезанными поддоменами. Хз может починили давно, но запомнилось (потому что пришлось разбираться).
В итоге переделал на webroot просто
> Если спустя три месяца админ забивает болт
Если настраивать уведомления как Вы — он так и сделает.
Как это не в нем если он корежит? Т.е. если ты сейчас пизданешь в какой нибудь америке что черный это нигер — это преступление, а если мой конфиг «не правильный», то виноват не тот кто ударил чтоли? )
А если прочитал, но при обнове конфликты доменов и прочая ересь (с многозначительным digest does not match от LE)?
Сейчас то уже знаю что пуляй --dry-run если есть сомнения, но изначально где об этом сказано?
> Так и флудит, что ни один сертификат не обновлён
И какой смысл от таких уведомлений? В один прекрасный момент Вы удалите реальную проблему )
> Дык надо в первую очередь наладить SSL, несколько недель/месяцев попроверять, что всё нормально работает, и только потом включать HSTS. Если вы делали наоборот, то ССЗБ
А потом выясняется (через 3 месяца или сколько там сейчас) что забыл прописать PATH в кроне для certbot или еще что нибудь. Но ведь «всё нормально работает», да?
Каюсь, был не прав. Смотрел со своей колокольни.
С другой стороны все эти всплывашки в браузере на полях ввода. Хотя кто то может не обновляться, да. (секта мля)
PS. И кстати меня удивило, что HSTS это запоминание ЕСЛИ УЖЕ был по https. Т.е. редирект все равно нужен. А если нужен редирект и делает тоже самое, то зачем нужен HSTS.
Это собственно логическая цепочка которая привела к изначальному вопросу.
PSS. а именно preload не очень понял при чем тут это. Ты первый раз заходишь по http… Тут надо типа плага addons.mozilla.org/ru/firefox/addon/https-everywhere который НАВЕРНОЕ тычет в 443 порт если пытаешься по 80 войти.
А можно внятно ответить чем это лучше редиректа с http на https?
Из минусов HSTS на своей шкуре почувствовал — сайт не будет доступен для тех кто его открывал, пока не наладишь SSL, «если что то пошло не так»
Т.е. тупо нет «запасного варианта» И пофиг, что SSL по факту нужен на одной страничке.
Т.е. еще одна зависимость от каких то внешних сервисов.
> оффлайновый список доменов
Кто их будет обновлять? Гугл? Захочет гугл и писец?
Ты не правильный админ )
PS. Лучше распиздяй, чем кто то завязывающийся на чужих сервисах и продвигающий это.
А на мой взгляд, Вы строите из себя НЕВЪЕБЕННОГО ОДМИНА. Который НИКОГДА НЕ ОШИБАЕТСЯ.
Я всего лишь пытаюсь доказать что ВСЕ ошибаются. Наверное Вы молоды, чтобы это осознать.
А мою часть прочитать про плаг для мозилы?
Что билять такое ваш «preload» (возможно я не понял и воспринял как одноименный аттрибут для script)?
Мое предложение хоть пример имеет :)
Всего лишь пытаюсь вернуть вас к реальности ;)
preload нихрена не даст. Запрос уже ушел на 80 порт и ответ уже подменен )
Ты в каком то идеальном мире живешь. Если ДАЖЕ у мозиллы есть такие админы, почему ты думаешь что не те же самые админы админять letsencrypt?
PS. Мозиловский реестр сертификатов считается самым доверенным BTW
Да что далеко ходить.
habr.com/ru/post/451220
Когда в руках молоток, все вокруг кажется гвоздями, да?
И они даже могут уведомить. Но админ не прочитает.
Да, я тоже «верю» что этого не произойдет, но на всякий случай HSTS не включаю иногда…
PS. А как мы выяснили ранее, HSTS абсолютно бесполезен, если траффик изначально прослушивается/подменяется.
Осталось только переучить ту гору разработчиков на «правильный стиль» )
Вобщем кликбейт и пук в лужу.
Вобщем, мне не подошел ООП, поэтому БЫСТРА переставайте его использовать )
Раньше «подозреваю, дело вовсе не в сертботе», сейчас «А, ну так nginx-конфиги в certbot всегда были нестабильными.» — прогресс на лицо )
Да не помню я подробности. Давно уже центос не обслуживаю. Замшелое г… пахнущее нафталином.
Там фишка в том что сертбот создает временный конфиг и включает его в текущий для проверки LE.
И там замут с регекспами (nginx конфиги), в итоге включался не туда и с вырезанными поддоменами. Хз может починили давно, но запомнилось (потому что пришлось разбираться).
В итоге переделал на webroot просто
> Если спустя три месяца админ забивает болт
Если настраивать уведомления как Вы — он так и сделает.
Как это не в нем если он корежит? Т.е. если ты сейчас пизданешь в какой нибудь америке что черный это нигер — это преступление, а если мой конфиг «не правильный», то виноват не тот кто ударил чтоли? )
Баг явно в нем, но я свой конфиг поправил.
ЗЫ. И да, проблемы выявились не сразу.
> на несколько десятков
Ну ваще крут. А бывало такое что у тебя центос и поддомены в одном файле? )
И сертбот корёжит ssl составляющую?
PS. «Как» гуглить не наука. Важно «ЧТО» гуглить.
А как поисковиком пользоваться я знаю, сам учу.
А если прочитал, но при обнове конфликты доменов и прочая ересь (с многозначительным digest does not match от LE)?
Сейчас то уже знаю что пуляй --dry-run если есть сомнения, но изначально где об этом сказано?
> Так и флудит, что ни один сертификат не обновлён
И какой смысл от таких уведомлений? В один прекрасный момент Вы удалите реальную проблему )
А потом выясняется (через 3 месяца или сколько там сейчас) что забыл прописать PATH в кроне для certbot или еще что нибудь. Но ведь «всё нормально работает», да?
С другой стороны все эти всплывашки в браузере на полях ввода. Хотя кто то может не обновляться, да. (секта мля)
PS. И кстати меня удивило, что HSTS это запоминание ЕСЛИ УЖЕ был по https. Т.е. редирект все равно нужен. А если нужен редирект и делает тоже самое, то зачем нужен HSTS.
Это собственно логическая цепочка которая привела к изначальному вопросу.
PSS. а именно preload не очень понял при чем тут это. Ты первый раз заходишь по http… Тут надо типа плага addons.mozilla.org/ru/firefox/addon/https-everywhere который НАВЕРНОЕ тычет в 443 порт если пытаешься по 80 войти.
А можно внятно ответить чем это лучше редиректа с http на https?
Из минусов HSTS на своей шкуре почувствовал — сайт не будет доступен для тех кто его открывал, пока не наладишь SSL, «если что то пошло не так»
Т.е. тупо нет «запасного варианта» И пофиг, что SSL по факту нужен на одной страничке.