ฉันควรใช้ ACME Challenge ประเภทใด HTTP-01 หรือ DNS-01?

เมื่อคุณใช้ โปรโตคอล ACME ในการสั่งซื้อใบรับรองจาก SSL.com เราจะตรวจสอบการควบคุมชื่อโดเมนของคุณในคำขอใบรับรองของคุณด้วย "ความท้าทาย" ที่จะกำหนดให้คุณต้องทำการเปลี่ยนแปลงที่ตรวจสอบได้กับเว็บไซต์หรือระเบียน DNS ของคุณ คำถามที่พบบ่อยนี้ครอบคลุมข้อดีและข้อเสียที่เกี่ยวข้องกับประเภทการท้าทายที่ SSL.com รองรับ: HTTP-01 และ DNS-01

HTTP-01 ท้าทาย

ความท้าทาย HTTP-01 กำหนดให้คุณหรือไคลเอนต์ ACME ของคุณสร้างไฟล์ที่มีโทเค็นแบบสุ่มและลายนิ้วมือของรหัสบัญชีของคุณบนเว็บเซิร์ฟเวอร์ของคุณเพื่อพิสูจน์การควบคุมเว็บไซต์ไปยัง CA ความท้าทายระบุทั้งเนื้อหาของไฟล์และ URL ที่ควรสร้าง (ซึ่งจะขึ้นต้นด้วยเสมอ .well-known/acme-challenge/ตามด้วยค่าโทเค็น) ตัวอย่างความท้าทาย HTTP-01 ด้วยตนเองสำหรับ example.com ที่แสดงด้านล่าง:

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - สร้างไฟล์ที่มีข้อมูลนี้: cr1rsRTImVz_s7HHk7biTQ 9mOlJPgZ8D97HojOHnhD6hYeZZOPDUDNMxchFUNJQvI และทำให้ใช้งานได้บนเว็บเซิร์ฟเวอร์ของคุณที่ URL นี้: http://example.com/.well-known/acme-challenge/cr1rsRTImVz_s7HHk7biTQ - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - กด Enter เพื่อดำเนินการต่อ

ข้อดีและข้อเสียของ HTTP-01

HTTP-01 เป็นประเภทการทดสอบ ACME ที่ใช้บ่อยที่สุดและ SSL.com แนะนำสำหรับผู้ใช้ส่วนใหญ่ ข้อดีหลักของมันคือความง่ายในการทำงานอัตโนมัติสำหรับแพลตฟอร์มเว็บเซิร์ฟเวอร์ยอดนิยมเช่น Apache และ Nginxและไม่จำเป็นต้องกำหนดค่าระเบียน DNS ใด ๆ และรอให้พวกเขาเผยแพร่ อย่างไรก็ตามมีข้อ จำกัด บางประการที่คุณควรทราบก่อนใช้ HTTP-01:

• ความท้าทาย HTTP-01 ทำงานผ่านพอร์ตเท่านั้น 80ดังนั้นจึงไม่สามารถใช้งานได้หากพอร์ตนี้ถูกบล็อกบนเว็บเซิร์ฟเวอร์ของคุณ
• หากมีเซิร์ฟเวอร์หลายเครื่องสำหรับชื่อโดเมนไฟล์คำท้า HTTP-01 จะต้องวางไว้บนเซิร์ฟเวอร์ทั้งหมด

ความท้าทาย DNS-01

ความท้าทาย DNS-01 กำหนดให้คุณต้องสร้างระเบียน DNS TXT สำหรับโดเมนของคุณรวมถึงโทเค็นแบบสุ่มและลายนิ้วมือของรหัสบัญชีของคุณที่ _acme-challenge.<YOUR_DOMAIN>. เซิร์ฟเวอร์ ACME ของ SSL.com จะค้นหา DNS สำหรับระเบียนนั้นและจะออกใบรับรองหากพบว่าตรงกัน นี่คือตัวอย่างความท้าทาย DNS-01 ด้วยตนเองสำหรับ example.com:

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - โปรดติดตั้งระเบียน DNS TXT ภายใต้ชื่อ _acme -challenge.example.com ด้วยค่าต่อไปนี้: -87YKoj3sQZB4rVCMZTiifl9QJKYm2eYYymAkpE0zBo ก่อนดำเนินการต่อให้ตรวจสอบว่ามีการปรับใช้เรกคอร์ด - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - กด Enter เพื่อดำเนินการต่อ

ข้อดีและข้อเสียของ DNS-01

ความท้าทาย DNS-01 นั้นยากกว่าที่จะทำให้เป็นอัตโนมัติมากกว่า HTTP-01 โดยต้องให้ผู้ให้บริการ DNS ของคุณจัดหา API สำหรับจัดการระเบียน DNS ของคุณ ในกรณีนี้คุณจะต้องจัดการกับภัยคุกคามด้านความปลอดภัยที่อาจเกิดขึ้นจากการรักษาข้อมูลรับรอง DNS API บนเว็บเซิร์ฟเวอร์ของคุณ ด้วยความท้าทาย DNS-01 คุณจะต้องตรวจสอบการเผยแพร่บันทึกของคุณหรือกำหนดค่าความล่าช้าในไคลเอนต์ ACME ของคุณหลังจากสร้างบันทึก อย่างไรก็ตามมีหลายสถานการณ์ที่คุณอาจเลือก DNS-01 ผ่าน HTTP-01:

• หากโดเมนของคุณมีเว็บเซิร์ฟเวอร์มากกว่านั้นคุณจะไม่ต้องจัดการไฟล์คำท้าบนเซิร์ฟเวอร์หลายเครื่อง
• DNS-01 สามารถใช้งานได้แม้ว่าพอร์ต 80 ถูกบล็อกบนเว็บเซิร์ฟเวอร์ของคุณ

โปรดทราบว่าสำหรับคำขอใบรับรองบางรายการ (เช่นสำหรับรายการสัญลักษณ์แทนพร้อมกับชื่อโดเมนพื้นฐาน) คุณอาจต้องสร้างระเบียน TXT หลายรายการที่มีชื่อเดียวกัน สิ่งนี้ทำได้ แต่คุณควรล้างระเบียน TXT เก่าจากความท้าทายก่อนหน้านี้เพื่อให้ขนาดการตอบสนอง DNS ไม่ใหญ่เกินกว่าที่เซิร์ฟเวอร์จะรับได้