26

我应该让 /.well-known/acme-challenge 始终暴露在服务器上吗?这是我的 HTTP 配置:

server {
 listen 80;

 location '/.well-known/acme-challenge' {
    root        /var/www/demo;
  }

 location / {
          if ($scheme = http) {
            return 301 https://$server_name$request_uri;
          }
 }

这基本上将所有请求重定向到 https,除了 acme-challenge(用于自动续订)。我的问题:是否可以将位置“/.well-known/acme-challenge”始终暴露在端口 80 上?或者在需要重新颁发证书时更好地手动注释/取消注释?这有什么安全问题吗?

任何有关此位置的建议或链接都​​值得阅读。谢谢!

4

4 回答 4

13

Acme 质询链接仅用于验证此 IP 地址的域

于 2017-01-23T11:22:09.790 回答
8

签署证书后,您无需保持令牌可用。但是,正如Certbot 工程师所解释的那样,让它可用​​也没有太大的危害:

令牌是特定质询的一部分,从 ACME 服务器的角度来看,在服务器尝试验证它之后,该质询不再有效。它会透露一些关于您如何获得证书的信息,但不应允许其他人为您的站点颁发证书或冒充您。

于 2017-06-09T22:11:39.353 回答
1

如果有人觉得这有帮助,我只是询问了我的托管客户支持,他们按照以下说明进行了解释......

是的,cPanel 会自动创建“知名”文件夹,以验证您的域以用于 AutoSSL。AutoSSL 是 cPanel/WHM 的一项附加功能,可为您的域提供免费的 SSL 证书,也称为自签名 SSL 证书。作为 AutoSSL 安装的一部分,在域验证过程中创建的文件夹 .well-known

而且不是需要删除的文件,它不会引起任何问题。

于 2018-11-06T13:35:03.347 回答
-8

文件名前的句点 ( .well-known) 表示它是一个隐藏目录。如果您的服务器被黑客入侵,黑客就可以使用这些信息。

于 2017-04-16T23:34:55.680 回答