Documentar fluxo de atualização de certificados
Opened this issue · 0 comments
Os certificados SSL para domínios e subdomínios do partido são emitidos pela Let's Encrypt.
Atualmente o método utilizado para atualizar os certificados é o standalone. Isto requer parar o servidor web rodando nas portas 80 e 443 para adicionar sub domínios no certificado.
Isto acontecia de forma natural até que neste domingo dia 16 de outubro, justamente na hora em que queriam divulgar um texto no site, o site do partido saiu do ar em decorrência da atualização do certificado.
Ocorre que houve queda de energia em decorrência das tempestades desta semana, e enquanto eu estava atualizando o certificado fiquei sem acesso ao terminal remoto. Consequentemente, o script do certbot ficou esperando intervenção humana, e levou muito tempo para reiniciar o servidor web.
Como as outras pessoas que administram o servidor não foram acionadas em tempo hábil, isto gerou confusão.
Então a manutenção dos certificados poderia adotar outras técnicas mais complexas e complicadas, com a intenção de eliminar o downtime no servidor web. O método provavelmente mais seguro é o manual.
Na wiki da igreja existe uma descrição sobre o método atualmente utilizado. Está praticamente atualizada.