Certbot /.well-known/acme-challenge

Question

Certbot /.well-known/acme-challenge

29

我应该在服务器上始终暴露 /.well-known/acme-challenge 吗？以下是我的HTTP配置：

server {
 listen 80;

 location '/.well-known/acme-challenge' {
    root        /var/www/demo;
  }

 location / {
          if ($scheme = http) {
            return 301 https://$server_name$request_uri;
          }
 }

基本上将所有请求重定向到https，除了acme-challenge（用于自动续订）。我的问题是：在端口80上始终暴露位置'/.well-known/acme-challenge'是否可以？还是最好手动注释/取消注释，需要重新发行证书时再进行操作？这样做是否存在任何安全问题？

感谢任何关于此位置的建议或阅读链接。谢谢！

- Ilya

4个回答

10

一旦您的证书已签署，您无需保留令牌。但是，也没有必要删除它，因为 Certbot工程师解释：

令牌是特定挑战的一部分，在服务器尝试验证后从ACME服务器的角度来看不再活跃。它可能会透露有关如何获取证书的一些信息，但不应允许其他人为您的站点发行证书或冒充您。

- natevw

0

如果有人觉得有用，我刚刚向我的托管客户支持询问了此事，并根据以下方式进行了说明...

“well-known”文件夹是cPanel自动创建的，以验证您的域名是否符合AutoSSL要求。 AutoSSL是cPanel / WHM的附加功能，为您的域提供免费的SSL证书，也称为自签名SSL证书。在域验证过程中创建.well-known文件夹作为AutoSSL安装的一部分。

这不是需要删除的文件，它不会引起任何问题。

- Oliver M Grech

-10

文件名前面的句点（.well-known）表示它是一个隐藏目录。如果您的服务器被黑客攻击，这些信息将对黑客可见。

- xtreme deals

抱歉，我是指隐藏目录。 - xtreme deals

1

您可以使用 https://stackoverflow.com/posts/43443282/edit 来编辑/更新您的答案。 - sideshowbarker

网页内容由stack overflow 提供, 点击上面的

可以查看英文原文，
原文链接

- Renjith Thankachan · Accepted Answer

14

Acme验证链接只需用于验证此IP地址的域名

- Renjith Thankachan

1

我也读到过它在验证期间用于临时文件，然后将其删除。所以我想这就是正确的答案。谢谢！ - Ilya

1

什么时候进行验证？只需要一次获取证书吗？还是需要再次验证？如果只是为了获取证书，那么我认为可以安全地删除.well-known目录...？ - PJ Brunet

2

是的，在获得证书后，您可以删除它，但在续订时需要该文件夹！ - Renjith Thankachan

1

这个答案需要扩展。它几乎不是一个完整的句子，也没有提供上下文、解释或文档链接。 - Felipe