-
@404DemocracyNF Si tu arrives à générer l’entête HPKP du vhost nginx the-fqdn à partir du /etc/ssl/private/the-fqdn.pem et idem pour l’entrée TLSA du fichier /var/named/zones/the-fqdn.db, en upgradant le SOA & en notifiant l’ods-signer (qui est sur une autre machine accessible uniquement […]On twitter.com
Mood +1 🙂
-
@404DemocracyNF du poste de l’admin parce que DNSSec impose une séparation claire entre zone DNS et signature), tu es à mon avis très très très fort… 😂Permalink On twitter.com
Mood 0
-
@404DemocracyNF J’ai franchement tout testé et trituré dans tous les sens, mais quand tu en arrives à vouloir gérer ce niveau de détail, actuellement tu n’as aucun outil à dispo…Permalink On twitter.com
Mood -2 🙁
-
@404DemocracyNF La modif d’un fichier de certificat impacte beaucoup de machines et de config (déploiement sur le RP ipv4, sur le backend ipv6, génération de l’entrée TLSA sur la zone DNS, renouvellement de la signature DNSSec vu que modif de la zone, génération des fichiers de renouvellement…)Permalink On twitter.com
Mood 0
-
@404DemocracyNF Et sauf à dupliquer l’information partout (dans X pillars pour salt par exemple) et à se remémorer la chaîne de dépendance à exécuter (tu dois garantir l’ordre d’exécution sinon tu casses ton service), l’outil actuel est inutilisable.Permalink On twitter.com
Mood 0
-
@404DemocracyNF Chef m’avait donné quelques espoirs avec sa db NoSQL requétable à l’envie depuis les fichiers de config, mais comme elle n’est pas dispo avant la fin de l’exécution et encore moins entre machines, c’est pareil, ça perd de son intérêt.Permalink On twitter.com
Mood 0
-
@404DemocracyNF Et avoir un wiki long comme le bras pour documenter l’ensemble des modifs à faire en cas de changement du fichier de certificat ou d’IP de la machine pour garantir que ton service ne pétera pas quelque part, c’était justement ce qu’était supposé éviter ces outils…Permalink On twitter.com
Mood 0
-
@404DemocracyNF Sachant que par exemple pour le cas de TLSA, tu n’as *PAS* le certificat sur la machine finale servant la zone. Le calcul ne peut être fait que côté machine administrateur.Permalink On twitter.com
Mood 0
-
@404DemocracyNF La zone DNS est aussi d’autant plus chiante à gérer que le serial du SOA ne doit *PAS* changer si le contenu derrière n’a pas bougé. Tu ne peux donc pas te contenter d’un simple incrément ou d’un serial time YYYYMMDD. Il faut de la méga logique pour générer un fichier correct.Permalink On twitter.com
Mood 0
-
@404DemocracyNF Ce n’est donc pas juste un simple template générable sans contexte. Il faut l’état antérieur et le futur état pour calculer le fichier final.Permalink On twitter.com
Mood 0