Выкинул nginx, перешел на Angie

ну и для развесистых доменов можно через dns подтверждать сертификаты

не для «развесистых», а обычный wildcard. и да, далеко не все регистраторы доменов имеют какие-либо API для подобных хуков. так что скрипты не годятся, как и модули.

А причем здесь регистраторы доменов? Они к этой теме не имеют никакого отношения.

см. мой комментарий выше. эти сертботы и иже с ними не решают проблемы с большинством доменных регистраторов и некоторыми CA, у которых нет API для ACME.

Регистраторы заниматься регистрацией доменов! Поддержка dns зон у них это дело опциональное и бывает, что и платное.

хотя, наверное, можно поднять свой DNS сервер и там обслуживать свою зону

Не мона, а нуна.

а у регистратора прописать ссылки

Это что ещё за новояз?

но тоже не слишком заманчивое решение.

Печально, крайнее печально...

а я npm пользуюсь. в гуе добавил прокси, сказал - получить серт, оно само все работает

при том, что dns-01, например.

Не мона, а нуна.

это если особо хочется заморачиваться. но ради одного домена вообще нет смысла. вот если у тебя энтерпрайз и штук 20 доменов, тогда можно и заморочиться. а так, овчинка выделки не стоит.

вроде балансировку что в f5 за деньги, в angie заявляли бесплатной сделают, но я этим не пользуюсь, халявной из Nginx за глаза хватало, надо про это почитать.

при том, что dns-01, например.

И какое отношение регистраторы к этому имеют?

такое, что они обычно и предоставляют дефолтный DNS сервер. ты вообще покупал домены?

это если особо хочется заморачиваться. но ради одного домена вообще нет смысла

Заморачиваться в чем? Настроить бинд в простом варианте? Давно это стало настолько лютой заморочкой?

вот если у тебя энтерпрайз и штук 20 доменов, тогда можно и заморочиться. а так, овчинка выделки не стоит.

Какая разница 1 или 21 ?

ну да. зачем тебе целый DNS-сервер ради одного(!) сраного домена. и при этом это целый вектор атак на твой сервер. мало другого дерьма в сети, хочешь получить ещё сверху немного проблем? я работала с DNS, я знаю, какие там проблемы.

я предпочитаю делегировать такую тривиальную задачу уже существующему доменному контроллеру регистратора и не париться. и не иметь гемора с китайскими ботами.

и да, плюсом тут ещё и то, что твой домен всегда в сети. даже если твой сервер вдруг выключен/недоступен и прочее. а в домене может быть не одна запись.

А что не так? Не they же

И какое отношение регистраторы к этому имеют?

такое, что они обычно и предоставляют дефолтный DNS сервер.

Например смотрящий в /dev/null

ты вообще покупал домены?

Есть такой грешок, ещё со стыка веков тянется, да и покупал не только лишь в этой стране. КМК это у вас какое-то местячковое представление основанное на полутора опытах.

я никогда не покупала домены в зоне ру. и никому никогда этого не советовала. это так, к слову. не надо нездоровых фантазий.

и я писала целый сервер DNS, и DNSы для провайдеров. так что я о DNS кое-что знаю. и мне не нужен отдельный сервер ради одной зоны в сети.

Теперь нет возни с сертификатами

А со своего CA оно умеет сертификаты тянуть?

Если nginx женить с certbot, там надо немного поприседать с тем, чтобы certbot гасил nginx и сам раздавал подтверждающие циферки на 443-м порту.

certbot standalone – это дикость. Самый простой способ работы – это режим webroot, т.е. через добавление файла в каталог. Далее просто имеешь условный nginx -s reload в post hook, и всё.

ну да. зачем тебе целый DNS-сервер ради одного(!) сраного домена.

ЦЕЛЫЙ DNS-сервер! Это наверное просто офигительно как много.

и при этом это целый вектор атак на твой сервер

и ЦЕЛЫЙ вектор атак... Про «вектор атак» я немного накинуть могу, но так как вы явно из уровня «где-то что-то слышала», то не буду.

я работала с DNS, я знаю, какие там проблемы.

Ну расскажите пожалуйста, а то может я о чем-то не в курсе.

я предпочитаю делегировать такую тривиальную задачу уже существующему доменному контроллеру регистратора

И этот контрольный регистратор может с вашей зоной по тихому, что-то сделать нехороше. Ну или не по тихому, а просто потому, что сломалось.

и не париться.

Вы о чем? Да у них запаришься через всякие эти вэб интерфейсы записи править. А с учетом того, что интерфейс эти черти перманентно меняют то факапы вполне себе возможны. За давностью лет не помню у кого это было, но там тема была в том, что не достаточно было кнопочку Оk/Save нажать, там ещё прифигачили в неочевидном месте линк! что-то типа «а теперь задеплоить в прод».

и не иметь гемора с китайскими ботами.

Чем они вам так мешают?

и да, плюсом тут ещё и то, что твой домен всегда в сети. даже если твой сервер вдруг выключен/недоступен и прочее. а в домене может быть не одна запись.

Сам по себе dns сервер без сервизов на которые он указывает не нужен, но да, бывают случаи когда место где крутиться сервиз не позволяет развернуть dns сервер в варианте slave.

я никогда не покупала домены в зоне ру.

Я тоже и пока в планах даже близко такого не имеется.

и я писала целый сервер DNS

Можно полюбопытствовать зачем? Что не устраивало в существующих?

и DNSы для провайдеров.

Сервера для провайдеров?

certbot standalone – это дикость.

А по мне это только так и должно робить.

А по мне это только так и должно робить.

Ронять свой HTTP ради того, чтобы запустить маленький HTTP-сервер-затычку – это непрактично. Это означает, что пару секунд сервер будет лежать.
Для кого-то это ни о чём, а для кого-то уже неприятно.

Ронять свой HTTP ради того, чтобы запустить маленький HTTP-сервер-затычку

Эммм... а зачем свой ронять-то?
Или под «certbot standalone» я понял, что-то отличное от ACME ?

Я отвечал на комментарий про certbot standalone mode. А чтобы certbot мог запустить свой HTTP-сервер на порту 80, на нём не должно быть иного HTTP-сервера, а значит, его нужно ронять.

Это больше из серии «как сделать быстро», чем «как сделать хорошо». Делать автоматизацию вокруг этого костыля точно не стоит.

Я отвечал на комментарий про certbot standalone mode.

Понял. Простите. Если и знал об этой фигне то на данный момент уже забыл.

Или под «certbot standalone» я понял, что-то отличное от ACME ?

Оно всё ACME, но cerbot может действовать по-разному.
И certbot standalone и weboot – это HTTP-01 challenge, для него сервер на порту 80 должен правильно ответить на GET-запрос на /.well-known/acme-challenge/{TOKEN}, и certbot может сделать это сам (standalone), а может положить файл в каталог (webroot). Вот и вся идея.

Понял ещё раз. Спасибо!

в общем у нас этот angie пиарят

Да не пиарят особо. Но в нем из коробки были некоторые вещи, которые только в платном nginx-е прежде доступны были.

И вообще, что за упреки-то? Часть команды разработчиков оригинала пилят свой форк и выкладывают результат в опенсорс, ничего ни от кого не требуя. Но обязательно найдутся люди, которым лишь бы обгадить, в вопросе ни черта не разбираясь.

Переменные вообще не для конфиг-программирования, если что. Они чтобы подставить куда-то пришедшие в запросе данные.

и ЦЕЛЫЙ вектор атак... Про «вектор атак» я немного накинуть могу, но так как вы явно из уровня «где-то что-то слышала», то не буду.

детка, я знаю про DNS горааааздо больше тебя. я примерно два года только писала софт, который его обслуживает, и наблюдала все эти атаки и прочие проблемы в сети, с ним связанные. причём на множестве серверов и на миллионах юзверей. так что школотронское «урряяя! я настроил сервер!» меня не забавляет ни грамма. я их унастраивалась до усрачки. меня от этого не плющит. у меня есть и написанный мной DNS сервер, и пропатченные другие, и много чего. я знаю, как это работает изнутри. но! я понимаю, что ещё один открытый на весь мир порт - это всегда нехорошо для сервера. и, в частности, для DNS я понимаю, почему конкретно. и если регистратор мне предоставляет бесплатно(!) возможность разрешать мою доменную зону на его сервере - я с радостью это сделаю. меньше торчащих наружу сервисов - меньше проблем на моём сервере. я найду, чем нагрузить свой сервер. лишние китайские боты, дидосы, амплификация, засирание кэша и борьба с этим всем мне совершенно не нужны. если можно не создавать проблему, то я предпочитаю её не создавать. пионеры очень гордятся тем, что могут поднять у себя на сервере что попало. в логи они, конечно, не смотрят, а потом удивляются, а что это на сервере так много проца сожрано каким-то сраным мелким демоном и почему это сеть вдруг тормозит.

Можно полюбопытствовать зачем? Что не устраивало в существующих?

внезапно, это была моя работа :) http://www.skydns.ru и safedns.com - это вот оно. это сервис фильтрации DNS. раньше там работал софт, который писала я, в том числе. начинал его писать другой разработчик. сейчас не знаю, что там стоит. но много лет там крутился именно тот самый сервер. я знаю, что там сменилось начальство и были подвижки во всякие сомнительные направления. но специально не следила.

там есть (раньше точно был) бесплатный сервис DNS, а можно было за небольшую плату получить «более лучший» вариант, с возможностью настройки фильтрации. когда-то нашими серверами пользовались не только юзеры в Эрефии и в Европе, но и турки, которым перекрыли DNS в попытках «запретить» какие-то сайты. я видела фото с нашим IP на стенах турецких домов - это тамошние активисты распространяли «свободный интернет» :) нашим DNS пользовались Иран и другие страны с репрессионными режимами. тогда на серверы, ближние к этим странам, разом привалило аж 11 миллионов юзеров. кроме сервера, там было ещё направление прошивок для роутеров. тоже колупалась с этим.

ещё один опыт работы с DNS был модификацией существующего сервиса для проксирования запросов на серверах защиты от дидоса. там были свои требования и нужно было некоторое допиливание.

так что я более чем хорошо представляю себе и протокол DNS, и все его проблемы. и я могу написать свою реализацию или любые патчи к уже существующим серверам. но вот не нужно мне этого.

а насчёт атак, я видела массовые атаки откуда-то из Китая с попытками «отравить» кэш и подменить сервисы гугла, например. почему именно гугла - хз. видимо, КПК не нравится гугл. я видела амплификационные атаки, когда запросами на кучу серверов вызывалась лавина запросов на целевой сервер. это натуральный дидос, там были сотни тысяч серверов, с которых шла атака. я много чего видела. ну, кроме просто китайских ботов, которые дрочат каждый открытый порт до посинения.

и зачем оно мне? пусть эту часть работы выполняет сервер регистратора. меня это вполне устраивает. я ничего не меняю динамически в своём домене. а раз в два месяца прописать там нужный для dns-01 проверочный код меня не обламывает.

Заморачиваться в чем? Настроить бинд в простом варианте?

Зачем что-то делать если это можно не делать?

Если nginx женить с certbot, там надо немного поприседать с тем, чтобы certbot гасил nginx и сам раздавал подтверждающие циферки на 443-м порту.

Э́ээ….правильно ли я понимаю, чтобы получить серт на один сайт нужно положить ту сотню сайтов, которую обслуживает nginx?

да. обычно это делают по графику когда-нибудь в часы наименьшей загрузки.

но теперь у меня вдруг всплыло воспоминание о сохраняемых на диск сессиях с их восстановлением после рестарта сервера. а вот какой это был софт - я уже не помню. слишком много всякого серверного софта доводилось писать. и теперь я мучаюсь от попыток вытащить из памяти, что же это был за сервер такой и где он применялся :)

Вы чего несёте, причем тут регистратор? Неймсервера и регистратор это не обязательно одно и то же, а в большинстве случаев разное.

ну, та компания, где ты регистрировал домен. понятно, что это не прямо вот физический регистратор домена org, например (он с тобой работать не будет). но домены перепродают. и есть куча компаний, которые этим занимаются, параллельно предоставляя удобные сервисы, платные и бесплатные.

регистраторы типа godaddy (например) и прочее такое. сервис вокруг чисто технической системы DNS, IANA и вот этого всего. они часто также продают услуги CA и прочие плюшки.

Тебя забыли спросить, для чего нужны переменные в конфиге. Если у меня есть тысяча вхостов, я бы хотел не заводить для каждого отдельный конфиг, а сделать один с использованием переменной в пути к серту.

Хотя кому я это говорю.

я примерно два года только писала софт

Чего ты только не писала. Мы код твой увидим когда-нибудь?

Регистратор домена не имеет никакого отношения к днс сервису, на котором ты рулишь зонами.

нет. он принадлежит тем компаниям, для которых я его писала. внезапно, да? NDA и вот это всё. и я честно его соблюдаю. поэтому хрен вам, а не код :)

но если я не буду лениться и допишу свою поделку, которую я медленно ковыряю с перерывами на «подумать», то, может, и выложу что-то. и то не факт. я не хочу заниматься майнтейнерством ни в каком виде. код писать люблю, но с конечными юзерами общаться совершенно не хочу. обычно я не общаюсь с юзерами напрямую: потребители моего софта в основном админы и с ними работать вполне нормально, они вменяемые. а с конечными юзерами - пипец ваще и я этого не хочу.

Немного в смятении, чому напильников всяких с лора выпилили, а ничего не изменилось, только стало хуже - все нормальные треды забиты айронбаг, дедом забыл ник «живу в лесу молюсь колесу», и прочими фриками.

Нет у тебя никакого полезного кода, иначе показала бы хотя бы хобби проекты. Тебя несколько лет тут просили показать примеры, а ты прикрываешься nda. Очередной специалист по всему, тут все такие. Лор 2к25 итоги.

ну, на сайтах регистраторов ты можешь ими рулить. также как и настройками сертификатов и прочих дополнительных услуг. технически у них там, конечно отдельный DNS сервис и CA, например. но это вообще фиолетово.

зайди на любой сайт любого более-менее крупного регистратора и почитай про предлагаемые сервисы. что-то платное, что-то включено в покупку домена. в зависимости от крутизны регистратора и целевой корневой зоны тебе выкатят ценники от весьма скромных до совсем конских.

я тебе ничего не обязана. пройди лесом.

Да что ты несёшь? Регистратор домена не имеет никакого отношения ко всему этому.

Ты имеешь ввиду, что регистратор домена может дополнительно оказывать услуги хостера нс, при желании клиента. И все.

Не обязана, это само собой. Но без примеров своего кода (тем более открытого и свободного), твои слова - пустой трёп. Говорить и хвастаться можно сколько угодно, но.. Странно так вышло, что у лютого поборника опенсурса нет желания хотя бы показать строчку кода.

твои - тоже. так что узбагойся и расслабься.

ты занимаешься демагогией и резонёрством.

А другие плюсы будут? В кластере этим всё равно cert-manager занимается, на хостах, если где и остались, то certbot. Ради только модуля с сертами менять годами проверенное решение не хочется.

практика: любой web проект на go использующий fast cgi это тормозное гуано, только использованием nginx для него можно капельку сгладить - замаскировать этот недостаток.

Почитай документацию, там прямым текстом написано что так делать не надо. Это хоть и работает, но приводит к потере производительности. Рекомендуемый способ - генератор (препроцессор) конфигов, который подставит все значения в твои шаблоны и выдаст уже статический конфиг.

как например в той же Caddy

У этих индусов не работают примеры на их же сайте. Меня всегда удивляли ребята, которые не проверяют свою программу в виртуалке на чистой системе.