我应该让/.well-known/acme-challenge 始终暴露在服务器上吗?这是我对HTTP的配置:
server {
listen 80;
location '/.well-known/acme-challenge' {
root /var/www/demo;
}
location / {
if ($scheme = http) {
return 301 https://$server_name$request_uri;
}
}
它基本上将所有请求重定向到 https,除了 acme-challenge(用于自动续订)。我的问题:将位置"/.well-known/acme-challenge"始终暴露在端口 80 上可以吗?或者最好在需要重新颁发证书时手动注释/取消注释?这有什么安全问题吗?
任何建议或链接,以阅读有关此位置的信息。谢谢!
Acme 质询链接仅用于验证此 IP 地址的域
证书
签名后,无需保持令牌可用。但是,正如Certbot工程师所解释的那样,保持它可用也没有太大的危害:
令牌是特定质询的一部分,从 ACME 服务器的角度来看,在服务器尝试验证它之后,该质询不再处于活动状态。它会显示一些有关如何获取证书的信息,但不应允许其他人为您的网站颁发证书或冒充您。
如果有人觉得这有帮助,我只是问了我的托管客户支持,他们按照以下方式进行了解释......
是的,"已知"文件夹由cPanel自动创建 以验证您的域以进行自动 SSL 目的。AutoSSL是一个附加的 cPanel/WHM的功能,可为您提供免费的SSL证书 域,也称为自签名 SSL 证书。文件夹 .众所周知,而创建时域验证过程为 自动 SSL 安装的一部分
而且它不是需要删除的文件,它不会导致任何 问题。
文件名(.well-known)之前的句点表示它是一个隐藏目录。如果您的服务器被黑客入侵,黑客可以使用该信息。