Odpověď na názor
Odpovídáte na názor k článku Let's Encrypt zjednoduší práci s DNS, bude stačit přidat záznam jen jednou. Názory mohou přidávat pouze registrovaní uživatelé. Nově přidané názory se na webu objeví až po schválení redakcí.
-
Filip JirsákStříbrný podporovatelOvěřování pro wildcard záznamy nijak nesouvisí s tím, jestli poskytovatel DNS poskytuje nějaké API. Let's Encrypt nepoužívá žádné speciální API, prostě jen posílá DNS protokolem úplně normální DNS dotazy a zpracovává odpovědi.
Autentizace domény je založená na tom, že vy do DNS uvedete DNS záznam se speciálním DNS názvem (podle kterého ho Let's Encrypt najde) a hodnotou, kterou vám určí Let's Encrypt. Let's Encrypt si pak standardním DNS dotazem nechá přeložit ten speciální záznam a zkontroluje, zda je v něm ta hodnota, kterou vám poskytl. Pokud ano, ví, že jste vlastníkem té domény – protože útočník nemůže vědět, jakou hodnotu vám LE poskytl.
Dneska LE posílá novou hodnotu pro každý požadavek na ověření domény. Změna bude spočívat jen v tom, že pro nový způsob ověření se ta hodnota nebude měnit s každým požadavkem na ověření domény, ale bude pořád stejná pro dané doménové jméno. Takže vy ten záznam vložíte to DNS jednou, klidně ručně, protože to budete dělat jenom jednou.
Žádné API poskytovatele DNS služeb není potřeba, ani u starého způsobu. Jen u nového způsobu se ten klíč vloží do DNS jednou „na věky“, u současného způsobu
DNS-01se musel při každém ověření domény (tedy častěji než jednou za tři měsíce) vkládat jiný klíč. Což je celkem otrava to dělat ručně, takže reálně se to dělá automaticky přes API. Mimochodem, ACME vzniklo právě kvůli automatizaci vydávání certifikátů, takže pokud pak někdo musí ručně přidávat záznamy do DNS, je to z bláta do louže. Proto se metodaDNS-01používá v drtivé většině případů tam, kde i správu DNS lze zautomatizovat.
