чт, 7 июл. 2022 г. в 14:18, Evgeniy Berdnikov <b...@protva.ru>:
> On Thu, Jul 07, 2022 at 01:19:01AM +0300, Maxim Dounin wrote: > > Документация на сайте предлагает "certbot --apache" в качестве > > основного варианта использования (например, тут: > > https://certbot.eff.org/instructions?ws=apache&os=ubuntufocal), и > > дальше уже не важно, какие ещё варианты есть: заметный процент > > пользователей будет делать именно то, что сказали. И получать > > предсказуемый (точнее, непредсказуемый) результат. > > Вставлю свои 2 копейки. Certbot пытается хоть как-то помочь чайникам. > А для чайника, как для маленького ребёнка, весь мир -- бесконечное > нагромождение проблем. Чайнику в паре строк конфига разобраться трудно, > спасти предыдущую конфигурацию он не додумается, работу http-сервера > он представляет себе смутно, а уж PKI и X509 это вообще ужас... > Смешная вроде задача "выставить в интернет свою страничку так, чтобы > гугл и яндекс не опустили сходу в рейтинге" становится неподъёмной. > > Certbot предлагает решение, работающее для дефолтных конфигураций > наиболее популярных дистрибутивов. Понятно, что это решение для чайников, > но писать явно об этом нельзя, чтобы не травмировать психику детей. :) > Главное, это не единственный вариант у certbot'a. > > > И нет, наличие проблемы "авторы считают возможным менять конфиги" > > в одном из вариантов использования - не означает, что в других > > вариантах использования проблем нет. Наличие такой проблемы > > означает, что авторы не понимают проблему, > > Может быть, понимают... Но одно дело написать код, а другое -- написать > адекватную документацию к нему, которая будет одинково удобна и полезна > как для новичка, так и для эксперта. > > Certbot в вариантах, не предполагающих правки конфигов, вполне себе > работает. Можно сказать, "поставил и забыл". > > Думаю, для командны Nginx было бы неплохо вставить в дистрибутивный > конфиг некую заготовку для "location /.well-known/acme-challenge {..}", > с документированием механизмов интеграции ACME с веб-серверами вообще не хватает качественной документации. например, мы партизанским способом узнали, что можно из .well-known/acme-challenge редиректить по 301, и таким образом, сильно централизовать и упростить внедрение lets encrypt > и написать там комментарии как ею пользоваться. Возможно, пообщаться > ещё с писателями certbot'a, чтобы вместе с ними сделать использование > этой заготовки удобным и безопасным. Тогда всем новичкам станет легче. > -- > Eugene Berdnikov > _______________________________________________ > nginx-ru mailing list -- nginx-ru@nginx.org > To unsubscribe send an email to nginx-ru-le...@nginx.org >
_______________________________________________ nginx-ru mailing list -- nginx-ru@nginx.org To unsubscribe send an email to nginx-ru-le...@nginx.org