Certbot /。众所周知/ acme挑战

我是否应该始终将/.well-known/acme-challenge暴露在服务器上？这是我的HTTP配置：

server {
 listen 80;

 location '/.well-known/acme-challenge' {
    root        /var/www/demo;
  }

 location / {
          if ($scheme = http) {
            return 301 https://$server_name$request_uri;
          }
 }

它基本上将所有请求重定向到https，除了acme-challenge（用于自动续订）。我的问题：将位置“ /.well-known/acme-challenge”始终暴露在端口80上可以吗？还是在需要重新颁发证书时手动对其进行注释/取消注释？是否有任何安全问题？

任何建议或链接阅读有关此位置的赞赏。谢谢！

Acme挑战链接仅用于验证域到此IP地址所需

证书签名后，无需保持令牌可用。但是，正如Certbot工程师所解释的，使它保持可用也没有太大危害：

从ACME服务器的角度来看，令牌是服务器尝试对其进行验证后不再有效的特定挑战的一部分。它会显示一些有关您如何获得证书的信息，但不应允许其他人为您的站点颁发证书或冒充您。