Cloudflare es az RFC esete

CF -ben kikapcsolod az Universal SSL -t, hogy a sajat Letsencrypt tanusitvanyaidat hasznalhasd. 
Felveszed a CNAME rekordot CF ala.
A CF persze nem kozli veled, hogy neki is van _acme.challenge.domain.tld bejegyzese, azonban van, es letezik is, a CNAME rekorddal egyszerre:

wladek@wladek:~$ host -t txt _acme-challenge.domain.tld
_acme-challenge.domain.tld descriptive text "2Z_z9qwa694FYLYBxmF2MkvuMSwazJRUItOTYeNUvno"
_acme-challenge.domain.tld descriptive text "b3HpbpIHzJPIpU9ayHbg2uqzSN8tpyok0ND_DvJ5e6c"

Mindekozben:
wladek@wladek:~$ host -t cname _acme-challenge.domain.tld
_acme-challenge.domain.tld is an alias for b231859d-0ccc-4939-a696-6078a4675cdf.authle.sajatdomain.tld.

Ami pedig:
wladek@wladek:~$ host -t txt b231859d-0ccc-4939-a696-6078a4675cdf.authle.sajatdomain.tld.
b231859d-0ccc-4939-a696-6078a4675cdf.authle.sajatdomain.tld descriptive text "OdiAWDmWA0H1Zoz8nbqcDUQVcwErd0jmszGGRD6zipg"
b231859d-0ccc-4939-a696-6078a4675cdf.authle.sajatdomain.tld descriptive text "dcFWp59dhSViAfUIf0TydnxKkqi3U3RwFBvLRV1qkRs"

Azonban CNAME es TXT rekord nem lehet egyszerre, legalabbis az RFC1034 szerint.

Mindekozben a Letsencrypt a TXT rekord ertekeit kapja, ami miatt unauthorized lesz a request.

a TCP/IP-ben gondolom egyetertunk, hogy elegge elterjedt. azt nem tudom, tudtad-e, de kibaszott sok hackkel tele van a legtobb mainstream implementacio hogy egyaltalan mukodjon a legtobb eszkozzel.

en nem azt mondtam, hogy jo, azt sem, hogy rossz, hanem hogy ez a vilag :) attol, hogy az RFC leir valamit, meg nem biztos, hogy ugy van. de lent ha jol latom a "should" es a "must" illetve a "must not" osszekeveredett nalad, tehat lehet hogy meg RFC compliant is a CF? :-)

Tudod, ha az RFC -t felulbiraljuk, akkor talan adunk be rola egy uj requestet. Hogy ez a CF reszerol is mukodhet, mi sem bizonyitja jobban, minthogy a 9261 pl toluk szarmazik. Szoval meg mindig varom a magyarazatot, ha mindenki mas tartja magat az adott RFC-hez, akkor miert is lesz jo, ha a CF nem teszi. Erosebb kutya b...k alapon fogadjam el, hogy ok valamit onkenyesen megcsinalnak, ugy, hogy RFC deklaralas hijjan masok nem implementaljak?
Az IETF nem viccbol letezik, ahogy az RFC -k sem.

Error: nmcli terminated by signal Félbeszakítás (2)

( persicsb | 2023. 09. 12., k – 21:44 )

"Azonban CNAME es TXT rekord nem lehet egyszerre, legalabbis az RFC1034 szerint."

Ezt mégis honnan olvasod ki? Az csak annyit mond, hogy should not, nem azt, hogy MUST NOT.

Vannak, ahol szigorubban ertelmezik az RFC -t, bind pl. hibat dob az adott zonara.
Amugy itt olvastam ki pl azt, hogy: 

If a CNAME RR is present at a node, no other data should be
present; this ensures that the data for a canonical name and its aliases
cannot be different.

Pont az nem valósult meg, ami a második tagmondatban van.

Error: nmcli terminated by signal Félbeszakítás (2)

( persicsb | 2023. 09. 12., k – 21:54 )

"CF -ben kikapcsolod az Universal SSL -t, hogy a sajat Letsencrypt tanusitvanyaidat hasznalhasd. "

Ennek a use case-nek amúgy mi értelme van? A LE egy automatikusan, géppel generált tanúsítvány, és a Cloudflare is vagy LE-t vagy Google Trust Service-t használ a generálásra. Azaz te most egy LE certet cserélnél egy LE certre? Miért is?

Mint ahogyan én magam is "géppel generálom". Van értelme abban az esetben, ha megelégeled, hogy a CF random hibákat dobál egy free plan -ben lévő domainre kiszolgálás közben és egy túlterhelt node -on keresztül (nem) szolgálja ki. Ekkor vagy teljesen megszünteted ott a kiszolgálást, vagy bypassolod a http(s) forgalmat pause segítségével - itt ez utóbbi történt.
A koncepció itt az, hogy az osszes domain LE tanusitvanyat, valamint azokat is, amelyeket egy disztributortol vasaroltunk egy kozos tarolobol disztributalom. A dns challenge egy acme-dns szerver segítségével valósul meg.

Error: nmcli terminated by signal Félbeszakítás (2)