HTTPS GitHub Pages DNS для принудительного использования SSL
1 мая 2018 года GitHub объявил, что страницы GitHub теперь получают поддержку HTTPS . В нем говорится, что у вас все готово для этой функции, если вы используете записи CNAME или ALIAS; или обновленный DNS с новыми IP-адресами для записей A.
Затем вы можете применить HTTPS:
Однако моя опция Enforce HTTPS отключена, заявив:
Недоступно для вашего сайта, потому что для вашего домена еще не выпущен сертификат.
Это автоматизированный процесс, который требует времени GitHub для завершения; или действие, которое я должен выполнить? На их странице Устранение неполадок пользовательских доменов говорится:
Если вы выбрали использование записей авторизации центра сертификации (CAA), для вашего GitHub должна существовать хотя бы одна запись CAA со значением letsencrypt.org Страницы сайта должны быть доступны по HTTPS. Для получения дополнительной информации см. « Авторизация центра сертификации (CAA) » в документации Let's Encrypt.
Означает ли это, что я должен создать новую DNS-запись CAA?
Что нужно этой записи содержать сервисы Let's Encrypt, используемые GitHub? Или я использую в этой записи свой собственный домен, например:
Запись CAA:
0 проблема caa.mydomain.tld
Строго говоря, вам не нужно проверять, что вы имеете контроль над родительским пространством имен, т.е. над вышестоящим доменом, для которого вы запросили сертификат сервера TLS или для реализации CAA.
Давайте Encrypt автоматически выдаст сертификат через автоматизацию GitHub Pages до тех пор, пока общее имя в запросе на подписание, сгенерированном GitHub, будет разрешено в IP-адрес сервера GitHub Pages. Итак, устранение неполадок: так ли это? Работает ли она без включения Enforce HTTPS?
Автоматизация запроса и выдачи серверного сертификата действительно влечёт за собой значительную нагрузку на масштабе, поэтому она тоже возможна, так как вы подозреваете, что произошла простая задержка в выдаче.
.Боты Let's Encrypt на GitHub ДОЛЖНЫ видеть IP-адреса GitHub для динамического создания сертификата. Следовательно, если вы используете Cloudflare (или аналогичный), вам необходимо отменить проксирование CNAME, указывающего на GitHub, чтобы роботы видели IP-адреса GitHub, а не Cloudflare (или другие) IP-адреса.
Как только роботы Let’s Encrypt подтвердят, что маршрут указывает на их собственную инфраструктуру, сертификат будет правильно создан и настроен для этого пользовательского доменного имени.