Certbot: 와일드카드 인증서 지원 필요 | CA와 이해 충돌?

@HLFH , 와일드카드 인증서에 대한 수요를 불필요하게 인식했기 때문에 #66을 잠

이 저장소는 와일드카드 인증서를 허용하지 않는 ACME 프로토콜 을 따르는 Let's Encrypt 클라이언트용입니다. 이 기능을 추가하는 것은 클라이언트의 범위를 벗어나므로 이 문제를 닫습니다. ACME를 위한 IETF 워킹 그룹의 후속 조치를 취하십시오. github 페이지 에서 더 많은 정보를 찾을 수 있습니다.

누군가 ACME 섹션 6.6 이 이 맥락에서 의미하는 바를 설명해 주시겠습니까?

어떤 이름을 사용할지 결정하는 것은 서버의 로컬 정책에 달려 있습니다.
서버가 승인한 경우 인증서에서 허용
클라이언트의 계정 키와 연결됩니다. 서버는 다음을 고려할 수 있습니다.
클라이언트가 와일드카드 도메인에 대해 승인된 경우
기본 도메인 이름("*" 레이블 제외).

아직 병합되지 않은 PR 14 는 이것을 더 명확하게 표현합니다.

내 이해를 위해 이것은 LE가 도메인(예: example.com)에 대한 클라이언트를 인증하고 ACME 사양의 관점에서 나중에 와일드카드 인증서(예: *.example.com)를 발행할 수 있도록 합니다.

와일드 카드 지원 부족이 서버의 로컬 정책과 관련이 있는 것처럼 들립니다. 그렇다면 LE의 정책이 (현재) 와일드카드 인증 발급에 반대하고 ACME WG를 비난하지 않는다는 점을 분명히 밝히십시오. :)

내가 틀렸다면 미리 설명 감사합니다. :)

@bmw 이에 대한 생각이 있습니까? 업데이트를 #66으로 푸시하거나 사람들이 무슨 일이 일어나고 있는지 알 수 있도록 잠금을 해제할 수도 있습니다. 나는 또한 각각 #66을 잠그고 닫은 @jmhodges 와 @bdaehlie 를 핑(ping)하고 있습니다.

나는 와일드카드에 어떤 움직임이 있었는지 알아보기 위해 사양을 직접 보았고 @MichaelHierweck이 언급한 것과 똑같은 것을 섹션 6.5 에 있음).

특히 이 프로젝트가 더 이상 letsencrypt 가 아니라 이제 certbot 프로토콜이 완전히 지원되어야 하며 사양을 따르지 않는 단일 공급자에 의해 제한되지 않아야 합니다. 발급 정책은 어렵고 사양을 구현하는 것은 어렵습니다. 누군가가 letsencrypt에서 발급한 와일드카드를 얻으려고 하면 certbot이 일종의 오류 메시지를 표시할 것이라고 가정합니다.

개인적으로 나는 이것을 클라이언트에서 지원하고 사물의 LE 서버/CA 측으로 _적절하게_ 비난을 푸시하여 와일드카드를 허용하도록 밀어붙이기를 바랍니다. 그렇게 하면 내가 작업하는 몇 가지 프로젝트가 훨씬 쉬워지기 때문입니다.

개인적으로 사람들이 https://community.letsencrypt.org 를 가리키도록 하여 #66이 제대로 해결되었다고 생각

서버는 기본 도메인 이름("*" 레이블 없음)에 대해 권한이 부여된 경우 와일드카드 도메인에 대해 권한이 부여된 클라이언트를 고려할 수 있습니다.

새로운 것이 아니며 letsencrypt/acme-spec#166으로 거슬러 올라갑니다. ACME 사양에서 허용되지 않는다고 말한 것은 틀렸습니다.

즉, 사용자가 클라이언트에서 와일드카드 인증서를 요청할 수 있도록 허용하는 문제를 추적하기 위해 #3233을 만들었습니다.