Техническое: certbot, проскользнувший мимо веб-сервера
На одном из серверов, certbot, запускаемый по таймеру systemd, неожиданно сумел обновить сертификаты. Почему неожиданно? Потому что, как показало исследование логов, раньше этому certbot-у успешно мешал работающий там же веб-сервис: этот веб-сервис занимает 80/tcp, на который настроен и “респондер ACME/DCV” (проверка права управления доменом) в certbot; так что certbot, вообще-то, не мог штатным образом обновлять сертификаты (упомянутый веб-сервис имеет собственное подобие веб-сервера, которому не ведомо понятие web root, кроме прочего); попытка certbot-а поднять собственный веб-сервер, чтобы ответить на запрос из Let’s Encrypt, наталкивалась на занятость соответствующего интерфейса по нужному номеру порта. И поэтому сертификаты обновлялись совсем другим способом, хоть и через certbot. Но таймер-то продолжал работать. А тут на днях штатный веб-сервис отвалилися, 80/tcp стал доступен и – certbot успел самостоятельно перевыпустить сертификаты. Вот как бывает. Прописывайте, как говорится, параметры в конфигурационные файлы правильно, корректно настраивайте таймеры, это позволит избежать неожиданных проявлений деятельности “искусственного интеллекта”.
Адрес записки: https://dxdt.ru/2023/03/04/9653/
Похожие записки:
- Обновление темы dxdt.ru
- Спагеттизация Интернета как проявление битвы за банхаммер
- Интерпретация DMARC в разрезе DKIM
- Квантовая криптография и металлический контейнер
- Приложение про DNS к описанию TLS
- Техническое: связь SCT-меток с логами Certificate Transparency
- Общее представление о шифрах и бэкдоры
- Реплика: очередное предостережение и угрозы ИИ
- Экспериментальный сервер TLS 1.3: обновление
- Перспективный ИИ в "разработке кода"
- Реплика: о языках программирования, из практики
1 комментарий от читателей
1. 6th March 2023, 12:05 // Читатель andrew написал:
Тут мораль скорее в том, что systemd – рак, успешно угробивший уютненький Linux.
Написать комментарий