Re: certbot

2022-07-05 Thread Maxim Dounin 
Hello!

On Tue, Jul 05, 2022 at 10:09:33PM +0300, Gena Makhomed wrote:

> On 05.07.2022 15:55, Maxim Dounin wrote:
> 
> > Отмечу, что если сертификаты обновлялись с помощью Certbot, то он
> > при обновлении модифицирует конфиги nginx'а (а потом возвращает
> > всё "как было").  Это может заканчиваться, скажем так, неожиданно.
> > Лично я рекомендую для выпуска сертификатов использовать
> > Dehydrated и необходимые дополнения в конфиг прописывать руками.
> 
> certbot так криво себя ведет только в дефолтовой конфигурации.

Этого достаточно, чтобы им не пользоваться.  И уж тем более не 
рекомендовать другим, ибо они с вероятностью, близкой к 100%, 
будут использовать его именно в конфигурации по умолчанию.

Тем более, что есть Dehydrated, который подобным идиотизмом по 
умолчанию не страдает, да и представляет из себя вполне читаемый 
bash-скрипт без дополнительных зависимостей.

-- 
Maxim Dounin
http://mdounin.ru/
___
nginx-ru mailing list -- nginx-ru@nginx.org
To unsubscribe send an email to nginx-ru-le...@nginx.org

Re: certbot

2022-07-05 Thread Gena Makhomed 

On 06.07.2022 0:52, Maxim Dounin wrote:


Отмечу, что если сертификаты обновлялись с помощью Certbot, то он
при обновлении модифицирует конфиги nginx'а (а потом возвращает
всё "как было").  Это может заканчиваться, скажем так, неожиданно.
Лично я рекомендую для выпуска сертификатов использовать
Dehydrated и необходимые дополнения в конфиг прописывать руками.



certbot так криво себя ведет только в дефолтовой конфигурации.



Этого достаточно, чтобы им не пользоваться.  И уж тем более не
рекомендовать другим, ибо они с вероятностью, близкой к 100%,
будут использовать его именно в конфигурации по умолчанию.


Если быть уж совсем точным, то при установке пакета certbot
пакет python3-certbot-nginx не устанавливается. python3-certbot-nginx -
это Plugin for certbot that allows for automatic configuration of nginx.

Поэтому при выполнении команды certbot run -d example.com он выдает ошибку:

Certbot doesn't know how to automatically configure the web server on
this system. However, it can still get a certificate for you. Please run
"certbot certonly" to do so. You'll need to manually configure your web
server to use the resulting certificate.

Поэтому единственным рабочим вариантом получения сертификата
для nginx является только команда certbot certonly -d example.com
которая никаких автоматических изменений в конфиги nginx не вносит.

certbot - это очень хорошо продуманный и качественно сделанный софт.


Тем более, что есть Dehydrated, который подобным идиотизмом по
умолчанию не страдает, да и представляет из себя вполне читаемый
bash-скрипт без дополнительных зависимостей.


этот bash-скрипт имеет серьезные проблемы даже с парсингом json:

https://www.opennet.ru/opennews/art.shtml?num=53279

тем более, что разработчик dehydrated - это всего лишь студент:

https://www.opennet.ru/opennews/art.shtml?num=52294

История исправлений этого bash-скрипта тоже впечетляет:

https://github.com/dehydrated-io/dehydrated/commits/master/dehydrated

really reverted regression in somehow broken array expansion from e96…

reverted regression in somehow broken array expansion from e963438

...

--
Best regards,
 Gena
___
nginx-ru mailing list -- nginx-ru@nginx.org
To unsubscribe send an email to nginx-ru-le...@nginx.org

Re: certbot

2022-07-05 Thread raven...@megaline.kg 
Если уж хочется bash-скриптов, то acme.sh хорошая альтернатива, однако, 
врочем как и в случае с ЛЮБЫМ софтом - сперва нужно ознакомиться с 
мануалами или хотя бы с тем, что в --help. certbot тоже вполне вменяемо 
выписывает сертификаты без манипуляций с конфигами веб-серверов)))


06.07.2022 03:52, Maxim Dounin пишет:

Hello!

On Tue, Jul 05, 2022 at 10:09:33PM +0300, Gena Makhomed wrote:


On 05.07.2022 15:55, Maxim Dounin wrote:


Отмечу, что если сертификаты обновлялись с помощью Certbot, то он
при обновлении модифицирует конфиги nginx'а (а потом возвращает
всё "как было").  Это может заканчиваться, скажем так, неожиданно.
Лично я рекомендую для выпуска сертификатов использовать
Dehydrated и необходимые дополнения в конфиг прописывать руками.

certbot так криво себя ведет только в дефолтовой конфигурации.

Этого достаточно, чтобы им не пользоваться.  И уж тем более не
рекомендовать другим, ибо они с вероятностью, близкой к 100%,
будут использовать его именно в конфигурации по умолчанию.

Тем более, что есть Dehydrated, который подобным идиотизмом по
умолчанию не страдает, да и представляет из себя вполне читаемый
bash-скрипт без дополнительных зависимостей.



___
nginx-ru mailing list -- nginx-ru@nginx.org
To unsubscribe send an email to nginx-ru-le...@nginx.org

Re: certbot

2022-07-06 Thread milov 
Использую команду certbot certonly и конфиги nginx не меняются, работает
хорошо.

Posted at Nginx Forum: 
https://forum.nginx.org/read.php?21,294635,294658#msg-294658

___
nginx-ru mailing list -- nginx-ru@nginx.org
To unsubscribe send an email to nginx-ru-le...@nginx.org

Re: certbot

2022-07-06 Thread Илья Шипицин 
ср, 6 июл. 2022 г. в 02:53, Maxim Dounin :

> Hello!
>
> On Tue, Jul 05, 2022 at 10:09:33PM +0300, Gena Makhomed wrote:
>
> > On 05.07.2022 15:55, Maxim Dounin wrote:
> >
> > > Отмечу, что если сертификаты обновлялись с помощью Certbot, то он
> > > при обновлении модифицирует конфиги nginx'а (а потом возвращает
> > > всё "как было").  Это может заканчиваться, скажем так, неожиданно.
> > > Лично я рекомендую для выпуска сертификатов использовать
> > > Dehydrated и необходимые дополнения в конфиг прописывать руками.
> >
> > certbot так криво себя ведет только в дефолтовой конфигурации.
>
> Этого достаточно, чтобы им не пользоваться.  И уж тем более не
> рекомендовать другим, ибо они с вероятностью, близкой к 100%,
> будут использовать его именно в конфигурации по умолчанию.
>
> Тем более, что есть Dehydrated, который подобным идиотизмом по
> умолчанию не страдает, да и представляет из себя вполне читаемый
> bash-скрипт без дополнительных зависимостей.
>

там весьма запутанная ситуация с "официальным" клиентом LetsEncrypt.
с одной стороны, есть ACME и к нему примерно миллион реализаций, среди
которых и certbot.

с другой стороны http://github.com/letsencrypt/letsencrypt -->
https://github.com/certbot/certbot


dehydrated и acme.sh - отличные примеры программирования на shell. без
шуток.


>
> --
> Maxim Dounin
> http://mdounin.ru/
> ___
> nginx-ru mailing list -- nginx-ru@nginx.org
> To unsubscribe send an email to nginx-ru-le...@nginx.org
>
___
nginx-ru mailing list -- nginx-ru@nginx.org
To unsubscribe send an email to nginx-ru-le...@nginx.org

Re: certbot

2022-07-06 Thread Maxim Dounin 
Hello!

On Wed, Jul 06, 2022 at 09:00:05AM +0300, Gena Makhomed wrote:

> On 06.07.2022 0:52, Maxim Dounin wrote:
> 
> >>> Отмечу, что если сертификаты обновлялись с помощью Certbot, то он
> >>> при обновлении модифицирует конфиги nginx'а (а потом возвращает
> >>> всё "как было").  Это может заканчиваться, скажем так, неожиданно.
> >>> Лично я рекомендую для выпуска сертификатов использовать
> >>> Dehydrated и необходимые дополнения в конфиг прописывать руками.
> 
> >> certbot так криво себя ведет только в дефолтовой конфигурации.
> 
> > Этого достаточно, чтобы им не пользоваться.  И уж тем более не
> > рекомендовать другим, ибо они с вероятностью, близкой к 100%,
> > будут использовать его именно в конфигурации по умолчанию.
> 
> Если быть уж совсем точным, то при установке пакета certbot
> пакет python3-certbot-nginx не устанавливается. python3-certbot-nginx -
> это Plugin for certbot that allows for automatic configuration of nginx.
> 
> Поэтому при выполнении команды certbot run -d example.com он выдает ошибку:
> 
> Certbot doesn't know how to automatically configure the web server on
> this system. However, it can still get a certificate for you. Please run
> "certbot certonly" to do so. You'll need to manually configure your web
> server to use the resulting certificate.
> 
> Поэтому единственным рабочим вариантом получения сертификата
> для nginx является только команда certbot certonly -d example.com
> которая никаких автоматических изменений в конфиги nginx не вносит.
> 
> certbot - это очень хорошо продуманный и качественно сделанный софт.

Я наблюдал Certbot с Apache, где все приседания с изменением 
конфигурации на работающем сервере используются по умолчанию.  
Точнее, помогал разобраться, почему оно не работает.  Мне хватило, 
чтобы не считать Certbot "хорошо продуманным и качественно 
сделанным".

> > Тем более, что есть Dehydrated, который подобным идиотизмом по
> > умолчанию не страдает, да и представляет из себя вполне читаемый
> > bash-скрипт без дополнительных зависимостей.
> 
> этот bash-скрипт имеет серьезные проблемы даже с парсингом json:
> 
> https://www.opennet.ru/opennews/art.shtml?num=53279
> 
> тем более, что разработчик dehydrated - это всего лишь студент:
> 
> https://www.opennet.ru/opennews/art.shtml?num=52294

Каждый выбирает приоритеты для себя.  Кому-то не нравится парсинг 
json'а, возвращаемого конкретным сервисом, с помощью регулярных 
выражений, чтобы не тащить зависимости, а кому-то - переписывание 
конфига работающего сервера (с помощью тех же регулярных 
выражений, если продраться через зависимости) с непредсказуемыми 
последствиями.

Я могу рекомендовать Dehydrated, он сделан хорошо и просто 
работает.  И не могу рекомендовать Certbot, там проблема дизайна: 
конфиг сервера нельзя менять, не понимая всех аспектов работы 
этого конфига (и тем более нельзя менять в фоне и не говоря об 
этом пользователю), а авторы Certbot'а этого явного не понимают.

-- 
Maxim Dounin
http://mdounin.ru/
___
nginx-ru mailing list -- nginx-ru@nginx.org
To unsubscribe send an email to nginx-ru-le...@nginx.org

Re: certbot

2022-07-06 Thread Gena Makhomed 

On 06.07.2022 22:00, Maxim Dounin wrote:


Отмечу, что если сертификаты обновлялись с помощью Certbot, то он
при обновлении модифицирует конфиги nginx'а (а потом возвращает
всё "как было").  Это может заканчиваться, скажем так, неожиданно.
Лично я рекомендую для выпуска сертификатов использовать
Dehydrated и необходимые дополнения в конфиг прописывать руками.



certbot так криво себя ведет только в дефолтовой конфигурации.



Этого достаточно, чтобы им не пользоваться. И уж тем более не
рекомендовать другим, ибо они с вероятностью, близкой к 100%,
будут использовать его именно в конфигурации по умолчанию.


Максим, я ошибся.
В дефолтовой конфигурации он себя ведет несколько иначе.

При установке пакета certbot и в RHEL-дистрибутивах и в Ubuntu
плагины для модификации конфигов nginx и apache не устанавливаются.

Если кто-то хочет их использовать - они устанавливаются отдельно,
с помощью пакетов python3-certbot-nginx и python3-certbot-apache

И даже в том случае, если эти плагины установлены - они по умолчанию, 
насколько я понимаю, не активируются - необходимо в командной строке

задать соответствующий параметр активации плагина: --nginx или --apache

Cлучайно испортить с certbot конфиг nginx или apache не получится -
каждый пользователь делает это вполне осознанно и целенаправленно,
вручную устанавливая на сервер и активируя соответствующий плагин.


Я могу рекомендовать Dehydrated, он сделан хорошо и просто
работает. И не могу рекомендовать Certbot, там проблема дизайна:
конфиг сервера нельзя менять, не понимая всех аспектов работы
этого конфига (и тем более нельзя менять в фоне и не говоря об
этом пользователю), а авторы Certbot'а этого явного не понимают.


Проблема дизайна, о которой Вы говорите, есть только у двух плагинов:
nginx и apache. Остальные плагины (standalone, manual, webroot, dns-*)
работают очень даже хорошо, и к ним ведь у Вас нет никаких претензий?

--
Best regards,
 Gena
___
nginx-ru mailing list -- nginx-ru@nginx.org
To unsubscribe send an email to nginx-ru-le...@nginx.org

Re: certbot

2022-07-06 Thread Maxim Dounin 
Hello!

On Wed, Jul 06, 2022 at 11:38:52PM +0300, Gena Makhomed wrote:

> On 06.07.2022 22:00, Maxim Dounin wrote:
> 
> > Отмечу, что если сертификаты обновлялись с помощью Certbot, то он
> > при обновлении модифицирует конфиги nginx'а (а потом возвращает
> > всё "как было").  Это может заканчиваться, скажем так, неожиданно.
> > Лично я рекомендую для выпуска сертификатов использовать
> > Dehydrated и необходимые дополнения в конфиг прописывать руками.
> >>
>  certbot так криво себя ведет только в дефолтовой конфигурации.
> >>
> >>> Этого достаточно, чтобы им не пользоваться. И уж тем более не
> >>> рекомендовать другим, ибо они с вероятностью, близкой к 100%,
> >>> будут использовать его именно в конфигурации по умолчанию.
> 
> Максим, я ошибся.
> В дефолтовой конфигурации он себя ведет несколько иначе.
> 
> При установке пакета certbot и в RHEL-дистрибутивах и в Ubuntu
> плагины для модификации конфигов nginx и apache не устанавливаются.
> 
> Если кто-то хочет их использовать - они устанавливаются отдельно,
> с помощью пакетов python3-certbot-nginx и python3-certbot-apache
> 
> И даже в том случае, если эти плагины установлены - они по умолчанию, 
> насколько я понимаю, не активируются - необходимо в командной строке
> задать соответствующий параметр активации плагина: --nginx или --apache
> 
> Cлучайно испортить с certbot конфиг nginx или apache не получится -
> каждый пользователь делает это вполне осознанно и целенаправленно,
> вручную устанавливая на сервер и активируя соответствующий плагин.
> 
> > Я могу рекомендовать Dehydrated, он сделан хорошо и просто
> > работает. И не могу рекомендовать Certbot, там проблема дизайна:
> > конфиг сервера нельзя менять, не понимая всех аспектов работы
> > этого конфига (и тем более нельзя менять в фоне и не говоря об
> > этом пользователю), а авторы Certbot'а этого явного не понимают.
> 
> Проблема дизайна, о которой Вы говорите, есть только у двух плагинов:
> nginx и apache. Остальные плагины (standalone, manual, webroot, dns-*)
> работают очень даже хорошо, и к ним ведь у Вас нет никаких претензий?

Документация на сайте предлагает "certbot --apache" в качестве 
основного варианта использования (например, тут: 
https://certbot.eff.org/instructions?ws=apache&os=ubuntufocal), и 
дальше уже не важно, какие ещё варианты есть: заметный процент 
пользователей будет делать именно то, что сказали.  И получать 
предсказуемый (точнее, непредсказуемый) результат.

И нет, наличие проблемы "авторы считают возможным менять конфиги" 
в одном из вариантов использования - не означает, что в других 
вариантах использования проблем нет.  Наличие такой проблемы 
означает, что авторы не понимают проблему, и что там ещё и где 
разложено или будет разложено в будущем - неизвестно.  И лично я 
предпочитаю пользоваться тем, что работает, и рекомендовать его 
же.

-- 
Maxim Dounin
http://mdounin.ru/
___
nginx-ru mailing list -- nginx-ru@nginx.org
To unsubscribe send an email to nginx-ru-le...@nginx.org

Re: certbot

2022-07-07 Thread Evgeniy Berdnikov 
On Thu, Jul 07, 2022 at 01:19:01AM +0300, Maxim Dounin wrote:
> Документация на сайте предлагает "certbot --apache" в качестве 
> основного варианта использования (например, тут: 
> https://certbot.eff.org/instructions?ws=apache&os=ubuntufocal), и 
> дальше уже не важно, какие ещё варианты есть: заметный процент 
> пользователей будет делать именно то, что сказали.  И получать 
> предсказуемый (точнее, непредсказуемый) результат.

 Вставлю свои 2 копейки. Certbot пытается хоть как-то помочь чайникам.
 А для чайника, как для маленького ребёнка, весь мир -- бесконечное
 нагромождение проблем. Чайнику в паре строк конфига разобраться трудно,
 спасти предыдущую конфигурацию он не додумается, работу http-сервера
 он представляет себе смутно, а уж PKI и X509 это вообще ужас...
 Смешная вроде задача "выставить в интернет свою страничку так, чтобы
 гугл и яндекс не опустили сходу в рейтинге" становится неподъёмной.

 Certbot предлагает решение, работающее для дефолтных конфигураций
 наиболее популярных дистрибутивов. Понятно, что это решение для чайников,
 но писать явно об этом нельзя, чтобы не травмировать психику детей. :)
 Главное, это не единственный вариант у certbot'a.
 
> И нет, наличие проблемы "авторы считают возможным менять конфиги" 
> в одном из вариантов использования - не означает, что в других 
> вариантах использования проблем нет.  Наличие такой проблемы 
> означает, что авторы не понимают проблему,

 Может быть, понимают... Но одно дело написать код, а другое -- написать
 адекватную документацию к нему, которая будет одинково удобна и полезна
 как для новичка, так и для эксперта.

 Certbot в вариантах, не предполагающих правки конфигов, вполне себе
 работает. Можно сказать, "поставил и забыл".

 Думаю, для командны Nginx было бы неплохо вставить в дистрибутивный
 конфиг некую заготовку для "location /.well-known/acme-challenge {..}",
 и написать там комментарии как ею пользоваться. Возможно, пообщаться
 ещё с писателями certbot'a, чтобы вместе с ними сделать использование
 этой заготовки удобным и безопасным. Тогда всем новичкам станет легче.
-- 
 Eugene Berdnikov
___
nginx-ru mailing list -- nginx-ru@nginx.org
To unsubscribe send an email to nginx-ru-le...@nginx.org

Re: certbot

2022-07-07 Thread Илья Шипицин 
чт, 7 июл. 2022 г. в 14:18, Evgeniy Berdnikov :

> On Thu, Jul 07, 2022 at 01:19:01AM +0300, Maxim Dounin wrote:
> > Документация на сайте предлагает "certbot --apache" в качестве
> > основного варианта использования (например, тут:
> > https://certbot.eff.org/instructions?ws=apache&os=ubuntufocal), и
> > дальше уже не важно, какие ещё варианты есть: заметный процент
> > пользователей будет делать именно то, что сказали.  И получать
> > предсказуемый (точнее, непредсказуемый) результат.
>
>  Вставлю свои 2 копейки. Certbot пытается хоть как-то помочь чайникам.
>  А для чайника, как для маленького ребёнка, весь мир -- бесконечное
>  нагромождение проблем. Чайнику в паре строк конфига разобраться трудно,
>  спасти предыдущую конфигурацию он не додумается, работу http-сервера
>  он представляет себе смутно, а уж PKI и X509 это вообще ужас...
>  Смешная вроде задача "выставить в интернет свою страничку так, чтобы
>  гугл и яндекс не опустили сходу в рейтинге" становится неподъёмной.
>
>  Certbot предлагает решение, работающее для дефолтных конфигураций
>  наиболее популярных дистрибутивов. Понятно, что это решение для чайников,
>  но писать явно об этом нельзя, чтобы не травмировать психику детей. :)
>  Главное, это не единственный вариант у certbot'a.
>
> > И нет, наличие проблемы "авторы считают возможным менять конфиги"
> > в одном из вариантов использования - не означает, что в других
> > вариантах использования проблем нет.  Наличие такой проблемы
> > означает, что авторы не понимают проблему,
>
>  Может быть, понимают... Но одно дело написать код, а другое -- написать
>  адекватную документацию к нему, которая будет одинково удобна и полезна
>  как для новичка, так и для эксперта.
>
>  Certbot в вариантах, не предполагающих правки конфигов, вполне себе
>  работает. Можно сказать, "поставил и забыл".
>
>  Думаю, для командны Nginx было бы неплохо вставить в дистрибутивный
>  конфиг некую заготовку для "location /.well-known/acme-challenge {..}",
>

с документированием механизмов интеграции ACME с веб-серверами вообще не
хватает качественной документации.

например, мы партизанским способом узнали, что можно из
.well-known/acme-challenge редиректить по 301, и таким образом,
сильно централизовать и упростить внедрение lets encrypt


>  и написать там комментарии как ею пользоваться. Возможно, пообщаться
>  ещё с писателями certbot'a, чтобы вместе с ними сделать использование
>  этой заготовки удобным и безопасным. Тогда всем новичкам станет легче.
> --
>  Eugene Berdnikov
> ___
> nginx-ru mailing list -- nginx-ru@nginx.org
> To unsubscribe send an email to nginx-ru-le...@nginx.org
>
___
nginx-ru mailing list -- nginx-ru@nginx.org
To unsubscribe send an email to nginx-ru-le...@nginx.org

Re: certbot

2022-07-07 Thread Evgeniy Berdnikov 
On Thu, Jul 07, 2022 at 02:40:21PM +0500, Илья Шипицин wrote:
>например, мы партизанским способом узнали, что можно из
>.well-known/acme-challenge редиректить по 301, и таким образом,
>сильно централизовать и упростить внедрение lets encrypt

 Зачем редиректить? Можно же проксировать .well-known/acme-challenge.
 Всё равно такой локейшн в конфиг нужно вставлять. И проксировать ведь
 безопасней, потому что при проксировании узел с certbot-ом може сделать
 вообще недоступным для соединений из интернета. А доступ к сайтам для
 передачи сертификатов дать лишь узлу с certbot-ом.
-- 
 Eugene Berdnikov
___
nginx-ru mailing list -- nginx-ru@nginx.org
To unsubscribe send an email to nginx-ru-le...@nginx.org

Re: certbot

2022-07-07 Thread Илья Шипицин 
чт, 7 июл. 2022 г. в 15:15, Evgeniy Berdnikov :

> On Thu, Jul 07, 2022 at 02:40:21PM +0500, Илья Шипицин wrote:
> >например, мы партизанским способом узнали, что можно из
> >.well-known/acme-challenge редиректить по 301, и таким образом,
> >сильно централизовать и упростить внедрение lets encrypt
>
>  Зачем редиректить? Можно же проксировать .well-known/acme-challenge.
>

в сети датацетров обычно доступ между сетевыми сегментами ограничен. и
запроксировать из кучи разных мест в единственную виртуалку с certbot - ну
так себе развлечение.

вот, например Certera 



>  Всё равно такой локейшн в конфиг нужно вставлять. И проксировать ведь
>  безопасней, потому что при проксировании узел с certbot-ом може сделать
>  вообще недоступным для соединений из интернета. А доступ к сайтам для
>  передачи сертификатов дать лишь узлу с certbot-ом.
> --
>  Eugene Berdnikov
> ___
> nginx-ru mailing list -- nginx-ru@nginx.org
> To unsubscribe send an email to nginx-ru-le...@nginx.org
>
___
nginx-ru mailing list -- nginx-ru@nginx.org
To unsubscribe send an email to nginx-ru-le...@nginx.org

Re: certbot

2022-07-20 Thread Dmitry Morozovsky 
Коллеги, 

(чуть запоздало)



On Thu, 7 Jul 2022, Maxim Dounin wrote:

[snip]

> И нет, наличие проблемы "авторы считают возможным менять конфиги" 
> в одном из вариантов использования - не означает, что в других 
> вариантах использования проблем нет.  Наличие такой проблемы 
> означает, что авторы не понимают проблему, и что там ещё и где 
> разложено или будет разложено в будущем - неизвестно.  И лично я 
> предпочитаю пользоваться тем, что работает, и рекомендовать его 
> же.

вот шесть лет назад Пит Уэмм довольно подробно расписал как и что (с тех пор 
скриптовать стало проще и, что ли, "повторяемее")

https://blog.crashed.org/letsencrypt-in-freebsd-org/

-- 
Sincerely,
D.Marck[DM5020, MCK-RIPE, DM3-RIPN]
[ FreeBSD committer:ma...@freebsd.org ]
---
*** Dmitry Morozovsky --- D.Marck --- Wild Woozle --- woo...@woozle.net ***
---
___
nginx-ru mailing list -- nginx-ru@nginx.org
To unsubscribe send an email to nginx-ru-le...@nginx.org

Re: certbot

2022-07-20 Thread Maxim Dounin 
Hello!

On Wed, Jul 20, 2022 at 07:59:26PM +0300, Dmitry Morozovsky wrote:

> Коллеги, 
> 
> (чуть запоздало)
> 
> On Thu, 7 Jul 2022, Maxim Dounin wrote:
> 
> [snip]
> 
> > И нет, наличие проблемы "авторы считают возможным менять конфиги" 
> > в одном из вариантов использования - не означает, что в других 
> > вариантах использования проблем нет.  Наличие такой проблемы 
> > означает, что авторы не понимают проблему, и что там ещё и где 
> > разложено или будет разложено в будущем - неизвестно.  И лично я 
> > предпочитаю пользоваться тем, что работает, и рекомендовать его 
> > же.
> 
> вот шесть лет назад Пит Уэмм довольно подробно расписал как и что (с тех пор 
> скриптовать стало проще и, что ли, "повторяемее")
> 
> https://blog.crashed.org/letsencrypt-in-freebsd-org/

Я, конечно, дико извиняюсь, но всерьёз воспринимать написанное не 
могу: начиная от утверждений про "servers require a full restart 
to re-load the certificates if the filename is unchanged", что 
применительно к nginx'у совершенно точно неправда, и заканчивая 
утверждениями про "nginx is broken" в части ocsp-must-staple, что 
явно показывает непонимание разницы между OCSP Stapling и 
требованиями OCSP Must Staple.

-- 
Maxim Dounin
http://mdounin.ru/
___
nginx-ru mailing list -- nginx-ru@nginx.org
To unsubscribe send an email to nginx-ru-le...@nginx.org

Re: certbot

2022-07-21 Thread Илья Шипицин 
чт, 21 июл. 2022 г. в 01:01, Maxim Dounin :

> Hello!
>
> On Wed, Jul 20, 2022 at 07:59:26PM +0300, Dmitry Morozovsky wrote:
>
> > Коллеги,
> >
> > (чуть запоздало)
> >
> > On Thu, 7 Jul 2022, Maxim Dounin wrote:
> >
> > [snip]
> >
> > > И нет, наличие проблемы "авторы считают возможным менять конфиги"
> > > в одном из вариантов использования - не означает, что в других
> > > вариантах использования проблем нет.  Наличие такой проблемы
> > > означает, что авторы не понимают проблему, и что там ещё и где
> > > разложено или будет разложено в будущем - неизвестно.  И лично я
> > > предпочитаю пользоваться тем, что работает, и рекомендовать его
> > > же.
> >
> > вот шесть лет назад Пит Уэмм довольно подробно расписал как и что (с тех
> пор
> > скриптовать стало проще и, что ли, "повторяемее")
> >
> > https://blog.crashed.org/letsencrypt-in-freebsd-org/
>
> Я, конечно, дико извиняюсь, но всерьёз воспринимать написанное не
> могу: начиная от утверждений про "servers require a full restart
> to re-load the certificates if the filename is unchanged", что
> применительно к nginx'у совершенно точно неправда, и заканчивая
> утверждениями про "nginx is broken" в части ocsp-must-staple, что
> явно показывает непонимание разницы между OCSP Stapling и
> требованиями OCSP Must Staple.
>

не собираюсь оправдывать автора статьи, но насчет OCSP Stapling есть
вопросы.

на что мы налетали.
пишу я допустим "ssl_ocsp on"

включаю - все работает, все счастливы.
всем шампанское.


потом, случайным образом - не работает. потом опять работает.

смотрим под капот - при старте nginx идет обращение к OCSP и формируется
(или не формируется) staple.
не формируется в зависимости от миллиона причин. в нашем случае nginx
стартовал при недоступных днс серверах (это один из штатных режимов
запуска).

по логу - ок, пишем warning, и едем дальше с отключенным OCSP.

как-то в подобной ситуации включать MUST Staple - ну такое. страшновато.

>
> --
> Maxim Dounin
> http://mdounin.ru/
> ___
> nginx-ru mailing list -- nginx-ru@nginx.org
> To unsubscribe send an email to nginx-ru-le...@nginx.org
>
___
nginx-ru mailing list -- nginx-ru@nginx.org
To unsubscribe send an email to nginx-ru-le...@nginx.org

Re: certbot

2022-07-21 Thread Илья Шипицин 
чт, 21 июл. 2022 г. в 15:42, Илья Шипицин :

>
>
> чт, 21 июл. 2022 г. в 01:01, Maxim Dounin :
>
>> Hello!
>>
>> On Wed, Jul 20, 2022 at 07:59:26PM +0300, Dmitry Morozovsky wrote:
>>
>> > Коллеги,
>> >
>> > (чуть запоздало)
>> >
>> > On Thu, 7 Jul 2022, Maxim Dounin wrote:
>> >
>> > [snip]
>> >
>> > > И нет, наличие проблемы "авторы считают возможным менять конфиги"
>> > > в одном из вариантов использования - не означает, что в других
>> > > вариантах использования проблем нет.  Наличие такой проблемы
>> > > означает, что авторы не понимают проблему, и что там ещё и где
>> > > разложено или будет разложено в будущем - неизвестно.  И лично я
>> > > предпочитаю пользоваться тем, что работает, и рекомендовать его
>> > > же.
>> >
>> > вот шесть лет назад Пит Уэмм довольно подробно расписал как и что (с
>> тех пор
>> > скриптовать стало проще и, что ли, "повторяемее")
>> >
>> > https://blog.crashed.org/letsencrypt-in-freebsd-org/
>>
>> Я, конечно, дико извиняюсь, но всерьёз воспринимать написанное не
>> могу: начиная от утверждений про "servers require a full restart
>> to re-load the certificates if the filename is unchanged", что
>> применительно к nginx'у совершенно точно неправда, и заканчивая
>> утверждениями про "nginx is broken" в части ocsp-must-staple, что
>> явно показывает непонимание разницы между OCSP Stapling и
>> требованиями OCSP Must Staple.
>>
>
> не собираюсь оправдывать автора статьи, но насчет OCSP Stapling есть
> вопросы.
>
> на что мы налетали.
> пишу я допустим "ssl_ocsp on"
>

тут наврал, мы писали "ssl_stapling on;"


>
> включаю - все работает, все счастливы.
> всем шампанское.
>
>
> потом, случайным образом - не работает. потом опять работает.
>
> смотрим под капот - при старте nginx идет обращение к OCSP и формируется
> (или не формируется) staple.
> не формируется в зависимости от миллиона причин. в нашем случае nginx
> стартовал при недоступных днс серверах (это один из штатных режимов
> запуска).
>
> по логу - ок, пишем warning, и едем дальше с отключенным OCSP.
>
> как-то в подобной ситуации включать MUST Staple - ну такое. страшновато.
>
>>
>> --
>> Maxim Dounin
>> http://mdounin.ru/
>> ___
>> nginx-ru mailing list -- nginx-ru@nginx.org
>> To unsubscribe send an email to nginx-ru-le...@nginx.org
>>
>
___
nginx-ru mailing list -- nginx-ru@nginx.org
To unsubscribe send an email to nginx-ru-le...@nginx.org