Certbot /.well-known/acme-challenge

Question

Должен ли я оставить /.well-known/acme-challenge всегда выставленным на сервере? Вот мой конфиг для HTTP:

server { 
listen 80; 

location '/.well-known/acme-challenge' { 
    root  /var/www/demo; 
    } 

location/{ 
      if ($scheme = http) { 
      return 301 https://$server_name$request_uri; 
      } 
} 

Какие в основном перенаправляет все запросы HTTPS, для акме-вызов (для автоматического обновления), за исключением. Мой вопрос: хорошо ли держать местоположение «/.well-known/acme-challenge» всегда открыто на порту 80? Или лучше комментировать/раскомментировать его вручную, когда нужно переиздать сертификат? Есть ли проблемы с безопасностью?

Любые советы или ссылки для чтения по этому адресу оценили. Благодаря!

Answer 1

Acme вызов ссылка требуется только для проверки домена для этого IP-адрес

Answer 2

Периода перед именем файла (.well-known) означает, что это скрытый каталог. Если ваш сервер взломан, информация доступна хакеру.

Answer 3

Вам не нужно хранить токен после подписания вашего сертификата. Тем не менее, существует не так много вреда, оставляя его доступным или, как explained by a Certbot engineer:

Маркер является частью конкретной задачи, которая больше не работает, с точки зрения сервера ACME зрения, после того, как сервер пытался подтвердите его. Это покажет немного информации о том, как вы получаете сертификаты, но не должно позволять кому-то другому выдавать сертификаты для вашего сайта или выдавать себя за вас.