HTTPS GitHub Страницы DNS для обеспечения SSL

Question

HTTPS GitHub Страницы DNS для обеспечения SSL

1 мая 2018 года GitHub объявил, что GitHub Pages теперь получают поддержку HTTPS. В нем говорится, что вы полностью настроены на эту функцию, если вы используете записи CNAME или ALIAS; или обновленный DNS с новыми IP-адресами для записей A.

Затем вы можете использовать HTTPS:

Однако моя опция Enforce HTTPS отключена, заявив:

Недоступно для вашего сайта, потому что сертификат еще не был выдан для вашего домена

Это автоматизированный процесс, который требует времени GitHub для завершения; или действие, которое я должен выполнить? На странице " Устранение неполадок пользовательских доменов" указано:

Если вы решили использовать записи Центра сертификации (CAA), должна существовать хотя бы одна запись CAA со значением letsencrypt.org, чтобы ваш сайт GitHub Pages был доступен через HTTPS. Для получения дополнительной информации см. " Авторизация центра сертификации (CAA) " в документации Let's Encrypt.

Означает ли это, что я должен создать новую DNS-запись CAA?

Что должна содержать эта запись для сервисов Let's Encrypt, используемых GitHub? Или я использую свой собственный домен в этой записи, как в:

CAA Record: 0 issue caa.mydomain.tld

0

domain-name-system ssl https github caa-record

Источник

Jason Sturges 05 июн '18 в 03:30

2 ответа

Другие вопросы по тегам domain-name-system ssl https github caa-record

qrkourier 05 июн '18 в 04:02 2018-06-05 04:02 · Answer 1 · 2018-06-05 04:02

Строго говоря, вам не обязательно проверять, что у вас есть контроль над родительским пространством имен, т. Е. Вышестоящим доменом, для которого вы запросили сертификат сервера TLS, или для реализации CAA.

Let's Encrypt автоматически выдаст сертификат с помощью автоматизации GitHub Pages, если общее имя в запросе на подпись, сгенерированное GitHub, преобразуется в IP-адрес сервера GitHub Pages. Итак, устранение неполадок: так ли это? Работает ли он без Enforce HTTPS?

Автоматизация для запроса и выдачи сертификата сервера влечет за собой значительную рабочую нагрузку в масштабе, и поэтому это также возможно, поскольку вы подозревали, что просто происходит задержка выдачи.

BigBlueHat 01 июл '21 в 13:27 2021-07-01 13:27 · Answer 2 · 2021-07-01 13:27

Боты Let's Encrypt на GitHub ДОЛЖНЫ видеть IP-адреса GitHub, чтобы динамически создавать сертификат. Следовательно, если вы используете Cloudflare (или аналогичный), вам необходимо отключить проксирование CNAME, указывающего на GitHub, чтобы роботы видели IP-адреса GitHub, а не IP-адреса Cloudflare (или других).

Как только роботы Let's Encrypt подтвердят, что маршрут указывает на их собственную инфраструктуру, сертификат будет правильно создан и настроен для этого личного доменного имени.