Por que o certbot não pode revisar automaticamente certificados SSL curinga sem um plugin DNS?

Question 1

A política de validação depende do emissor do certificado (LE), não do Certbot.

Com o Let's Encrypt, a validação do domínio não é permanente – se já se passaram mais de 30 dias, a propriedade do domínio precisa ser revalidada, mesmo que você esteja renovando o mesmo certificado usando a mesma conta.

Cada novo processo de validação utilizará um novo desafio, especificamente paraevitarimpedir que os mesmos registros DNS sejam reutilizados para sempre – o objetivo da validação do domínio é provar que você ainda está sob seu controle no momento.

Veja este tópico para mais informações:https://community.letsencrypt.org/t/will-renewal-always-require-new-dns-acme-challenge-txt/102820/2

Answer

A política de validação depende do emissor do certificado (LE), não do Certbot.

Com o Let's Encrypt, a validação do domínio não é permanente – se já se passaram mais de 30 dias, a propriedade do domínio precisa ser revalidada, mesmo que você esteja renovando o mesmo certificado usando a mesma conta.

Cada novo processo de validação utilizará um novo desafio, especificamente paraevitarimpedir que os mesmos registros DNS sejam reutilizados para sempre – o objetivo da validação do domínio é provar que você ainda está sob seu controle no momento.

Veja este tópico para mais informações:https://community.letsencrypt.org/t/will-renewal-always-require-new-dns-acme-challenge-txt/102820/2

Question 2

Observando apenas como isso funciona na prática, oferecer um novo desafio a cada emissão (seja uma renovação ou não) é a política da Let's Encrypt para garantir que o consentimento do proprietário do domínio seja realmenteatual.

Embora a Let's Encrypt possa oferecer apenas certificados validados por domínio, sua abordagem sobre a validação de domínio parece mais robusta em algumas áreas do que muitas das CAs tradicionais (que vendem certificados validados por domínio).
Eu acho que isso é provavelmente o resultado de uma combinação de ideais (LE não ganha dinheiro vendendo mais certificados de qualquer maneira, então suponho que eles podem se dar ao luxo de ter ideais), mas também uma questão de mostrar que eles levam realmente a sério a validação para para, em primeiro lugar, ser aceito e, em seguida, também permanecer nos armazenamentos raiz confiáveis de todos os principais fornecedores de sistemas operacionais/navegadores.

Dito isto, toda a base do Let's Encrypt (e da emissão de certificados baseados em ACME em geral) éautomação. Usado conforme pretendido, não há diferença real entre a emissão inicial e a renovação.
A idéia é que, se você usar certbot, por exemplo, especifique o plugin DNS relevante para você e a configuração do plugin conforme necessário já quando você solicitar pela primeira vez um novo certificado. certbotarmazena todos os parâmetros do certificado emitido e você pode renovar automaticamente quantas vezes quiser, sem nenhum trabalho manual adicional.

Em relação aos plug-ins DNS especificamente, eles têm o plug-in rfc2136 (atualizações dinâmicas de DNS padrão) que cobre servidores DNS típicos que você mesmo executaria (por exemplo, BIND, PowerDNS, Knot, etc.), bem como plug-ins para as APIs de muitos dos principais serviços DNS. fornecedores.
Se algum desses for o que você usa, deve ser simples.

Answer

Observando apenas como isso funciona na prática, oferecer um novo desafio a cada emissão (seja uma renovação ou não) é a política da Let's Encrypt para garantir que o consentimento do proprietário do domínio seja realmenteatual.

Embora a Let's Encrypt possa oferecer apenas certificados validados por domínio, sua abordagem sobre a validação de domínio parece mais robusta em algumas áreas do que muitas das CAs tradicionais (que vendem certificados validados por domínio).
Eu acho que isso é provavelmente o resultado de uma combinação de ideais (LE não ganha dinheiro vendendo mais certificados de qualquer maneira, então suponho que eles podem se dar ao luxo de ter ideais), mas também uma questão de mostrar que eles levam realmente a sério a validação para para, em primeiro lugar, ser aceito e, em seguida, também permanecer nos armazenamentos raiz confiáveis de todos os principais fornecedores de sistemas operacionais/navegadores.

Dito isto, toda a base do Let's Encrypt (e da emissão de certificados baseados em ACME em geral) éautomação. Usado conforme pretendido, não há diferença real entre a emissão inicial e a renovação.
A idéia é que, se você usar certbot, por exemplo, especifique o plugin DNS relevante para você e a configuração do plugin conforme necessário já quando você solicitar pela primeira vez um novo certificado. certbotarmazena todos os parâmetros do certificado emitido e você pode renovar automaticamente quantas vezes quiser, sem nenhum trabalho manual adicional.

Em relação aos plug-ins DNS especificamente, eles têm o plug-in rfc2136 (atualizações dinâmicas de DNS padrão) que cobre servidores DNS típicos que você mesmo executaria (por exemplo, BIND, PowerDNS, Knot, etc.), bem como plug-ins para as APIs de muitos dos principais serviços DNS. fornecedores.
Se algum desses for o que você usa, deve ser simples.

Por que o certbot não pode revisar automaticamente certificados SSL curinga sem um plugin DNS?

Responder1

Responder2

informação relacionada