Комментарии 32
Главное, что данная организация продолжает существовать и таким образом помогает делать интернет безопаснее. И за это им спасибо!
Даже не знал что там такое есть.
Ещё вариант - сделать срок жизни сертификата в 1 год, а не 6 месяцев.
Сейчас 3 месяца.
Это же их принципиальная позиция: типа ты задолбаешься обновлять руками и настроишь автоматизацию. А то все постоянно забывают продлевать.
По факту знаю один... сервис, который постоянно забывает менять сертификат, из-за чего регулярно у людей "отваливается" сайт (ну вы поняли), обычный юзер не понимает, на что ругается у него браузер и начинает кричать, что не может пробиться в сервис) И ты долбишь админам, чтобы быстрее поменяли протухший серт
а может быть вы знаете гайд, как это сделать на traefik для wildcard сертификата, купленного у namecheap?
как это сделать на traefik для wildcard сертификата, купленного у namecheap?
Обращение к тех.подам namecheap поставленный вопрос не решает? Что они скажут про автоматическое приобретение серта?
Namecheap - это регистратор имен. Они предоставляют услуги продаж доменных имен, ну и dns-сервера. Думаете они должны помогать с let's encrypt?
сертификата, купленного у namecheap?
Вы приобрели сертификат у namecheap. Почему вы не задаете им вопрос об автоматизации этой процедуры с использованием инструмента traefik?
Я приобрел домен у namecheap, а сертификат мне выдает let's encrypt.
Но вы натолкнули меня на идею, проверить доку траефика и там завезли поддержку api от namecheap для dns-challenge. Большое спасибо!
Тогда я вам подвезу другую доку и вы больше не будете ожидать библиотеки API под имеющегося уникального DNS-хостера.
https://github.com/acmesh-official/acme.sh/wiki/DNS-alias-mode
Придётся мониторинг прикручивать :)
А то так было удобно, если что-то где-то отхлебнуло и сертификат не продлился, придёт письмо.
В оригинальном сообщение Let’s Encrypt упоминается сервис , который бесплатно мониторит до 250 сертификатов.
А в чем проблема сертбота? Он может накосячить?
Certbot может и нет, зато что угодно стороннее может случайно отвалиться, например доступ к API провайдера DNS
Или вот например Cloudflare принципиально не даёт API для доменов *.tk, приходится руками wildcard-сертификаты получать, только благодаря уведомлениям от Let's Encrypt не забывал)
Let's Encrypt дает wildcard-сертификаты?
Даёт.
Я обещаю обновлять страницу, перед отправкой комментария.
А зачем работающий провайдер DNS?
Там же можно не только через запись в DNS проверку проходить.
Можно например по SSL (текущему) перепроверить домен для выпуска. Тогда никакой завязки на внешние службы - нет.
А в какой документации об этом почитать?
Вот я из-за того и спросил, что там прямым текстом написано про отсутствие nginx и wildcard, а значит этот способ фактически бесполезен на практике
Он полезен тем у кого нет доступа к редактированию dns rr и по каким-либо причинам недоступен 80 порт. Что сильно не массово.
Wildcard в этом случае (как и с http-01) и не должен поддерживаться, т.к. проверяется один хост.
В nginx нет нативной поддержки, но внешний респондер (типа acme.sh/lego) + ngx_stream_ssl_preread_module позволяют реализовать нужный функционал, см https://github.com/acmesh-official/acme.sh/wiki/TLS-ALPN-without-downtime#nginx.
Apache httpd поддерживает через mod_md.
HAProxy поддерживает, опять же, с внешним респондером.
А зачем работающий провайдер DNS?
Для DNS-01 challenge
Я про то, что есть еще и https://letsencrypt.org/docs/challenge-types/#tls-alpn-01 - который ровно то же самое делает только в API DNS провайдера ходить не нужно.
А не проще ли настроить авто-обновление?
У меня на роутере OpenWRT стоит сертификат от LE, скрипт обновления серта запускается по крону. Еще ни разу не возникло ситуации что бы .... я вспомнил про то, что там что-то надо обновлять.
Всем тем, кто задается вопросом "Зачем напоминать?", хочется сообщить, что в процедуре успешного выпуска сертификатов участвующих компонент чуть больше, чем две. И от каждой ожидается стабильность и надежность. А пятилетний успешный опыт отсутствия мониторингов никак не гарантирует, что в будущем оно не потребуется.
Let's Encrypt прекратит уведомлять об истечении срока действия своих бесплатных HTTPS-сертификатов с 4 июня 2025 года