Можно ли защитить 80 порт во время выпуска сертификата Let's Encrypt?

Question

[Андрей]

Имеем
Debian12
Firewall - nftables
Nginx (трогать его настройки нельзя )
Postfix+dovecot+прочее
Требуется получить сертификаты для postfix+dovecot помощью Let's Encrypt.

Так как для выпуска серта certbot требуется открытый с наружи 80 порт (ну и чтобы на 80-ке никого не было), то наваял такой скрипт-костыль

#! /bin/bash
#стопарим web, открываем 80 порт 
systemctl stop nginx && nft add rule ip FirewallIPV4 input tcp dport 80 accept
#Получаем серты
certbot certonly --standalone -d mail.andreydracon.ru
#Применяем исходные настройки фаера
(exec "/etc/nftables.conf")
#Запускаем web сервер
systemctl restart nginx

Все отработало серты прилетели, nginx рестартанулся, порт 80 закрыт

Напрягает то, что какое-то время был открыт 80 порт для всех (Как я понял Let's Encrypt не афишируют ip своих сервисов. Поэтому ограничить доступ определенными ip не получиться)

Есть ли варианты защиты 80 порта на момент выпуска серта ?

Comments

[Rsa97]

Если у вас 80 порт закрыт, то зачем на нём висит nginx? От чего вы собираетесь защищаться на 80 порту? Что вам мешает правильно настроить nginx в связке с certbot, чтобы кроме каталога с челленджами все остальные запросы редиректились на https? А если уж совсем паранойя замучала, то настройте хуки для DNS-челленджа и вообще забудьте про 80 порт.

[Ivan Ustûžanin]

использовать DNS-01 challenge?
забить, т.к. в торчащем 80-м порту нет ничего страшного, да и Let's Encrypt пишет примерно такое: https://letsencrypt.org/docs/allow-port-80/

[Андрей]

Rsa97, Собственно на этом серваке что к 443 что 80 доступ ограничен с помощью фаервола(открыт только для определенных ip ). Там крутится вебка почтовика. Клиенты цепляются к почте не через вебку .
Собственно в обычном, нормальном режиме, для все открыты только порты почтового сервера.

[Valentin Barbolin]

Есть ли варианты защиты 80 порта на момент выпуска серта ?

Защитить порт на все 15 секунд пока будет получен сертификат?

[Drno]

А зачем его закрывать вообще? чего Вы боитесь то?)

[Андрей]

Исторически сложилось так что на этом серваке доступ к 443 и 80 из нет ограничен фаерволом (открыт только для определенных ip).
Ну и как говорится мало чего )))

[Drno]

Андрей, мало ли чего «што»??
Я реально не понимаю.
Если там только внутренние ресурсы - ок допустим.
От того что на 5 секунд открывается 80й порт ничего не случится.

Answer 1

[ky0]

Вместо того, чтобы городить костыли со standalone certbot, просто добавьте локейшен в nginx и запускайте certbot в режиме webroot:

server {
        listen 80;
        server_name _;

        location /.well-known/acme-challenge {
                root /var/www/letsencrypt;
        }

        location / {
        return 301 https://$server_name$request_uri;
        }
}

А ещё лучше - вместо HTTP используйте DNS-валидацию.

Comments

[Андрей]

Благодарю за развернутый ответ (acme-dns-certbot то, что мне нужно)

Answer 2

[Alexey Dmitriev]

Вопрос конечно странный, попахивает приличной паранойей.
Но если у вас закрыт 80 порт, значит он не используется и вам стоит убрать то, что его использует и открыть, чтобы Lest Encrypt мог сам поднимать на нем временный веб сервер для валидации своих сертификатов.
Это можно сделать - если вам действительно важно использовать http-01 challenge для подтверждения.
НО у LE есть и другие способы валидации, не требующие 80 порта.