Reprise du message précédent :

 
Ici aussi mais quel intérêt de vouloir migrer si les applications donnent satisfaction au métier ? (et que le coût du projet serait 50x supérieur à la dîme d'IBM)

 
Sur les 3 domaines cités la différence c’est que tu as des exigences de sécurité et un régulateur
(Et donc pas de régulation -> rien ne se passe)

Tu as la même chose sur quelques grands domaines dans l'IT (OIV).
Puis peu de gens ont conservé des smartphone de plus dix ans

 
"qu'il faut" ce serait quoi dans le cas d'un Windows XP Embedded concrètement ?

o7

 
L'IT, c'est un truc de branleurs.  
 

 
Tu MAJ vers un truc supporté.

 
Bon sang, mais c'est bien sûr !

tu vérifies que flash est bien a jour

Ya pas un turbo pépin chez Cloudflare ?

Ça a l'air super lent pour un paquet de sites, ouais.

 
https://www.cloudflarestatus.com/history

 

https://rehost.diberie.com/Picture/Get/f/335263
 
Gnome spotted?

https://rehost.diberie.com/Picture/Get/f/335264
Ça nous dit pas si c'est un nux ou un BSD

Un theme linux pour Windows

Mais faut éviter de trop le dire.

In SponsorBlock veritas...

A+,

C'est balo  

Sponsorisé par Thomson-CSF

Vu dans la TdM de ce bouquin récent de Antonio Vazquez, PIC-3 Virtualization and Containerization Study Guide Certification Companion for the LPIC-3 305 Exam Volume:

A+,
 

J'étais en Alsace ce week-end et j'ai pensé à vous

En l'occurrence en Alsace on paie quasiment un équivalent de ça via l'impôt pour l'église

Je sais pas si c'est pour ici ou pour le topic honte  

Je viens de me surprendre a regarder une vidéo YT sur mon téléphone alors que j'ai une TV ( avec un ordi au cul) dans mon salon, un setup dual screen sur le bureau, un 24" sur bras dans ma chambre

les seuls pièces où j'ai pas un équipement fixe capable de faire tourner un vrai Windows c'est la salle de bain et la cuisine, et encore l'ordi portable est à porté de main  
Pourquoi bordel ... Pourquoi être sur un écran miniature quand j'ai deux pas à faire  

Soit je suis trop vieux soit je suis devenu un casu
Dans les deux cas ma fin est proche  

Mais l'un n’empêche pas l'autre! Tu pourrais être un cumulard qui s'ignore.    
A+,

Les videos ne sont pas forcement scalables.
Je préfère bien souvent du contenu youtube sur 10° de mon champ de vision sur mon téléphone que sur 60° de mon desktop.  
Bon ok on peut fenêtrer

Ivres, pendant 18 mois, des soignants discutaient publiquement de leurs patients sur Google Groupes
 
https://next.ink/161630/pendant-18- [...] e-groupes/
 
ptain

 
J'en avais parlé dans le topic incultes, no commerciaux n'avaient pas trouvé mieux pendant un moment de faire une carte de tous nos systemes placés en europe, sur un truc de partage de cartes public.

Je me retrouve encore coincé avec une problématique DNS à la con, pour valider un certificat SSL pour un service SaaS

Mon nom DNS service.entreprise.com est un CNAME qui pointe sur une instance SaaS toto123.saas.com

Pour valider le certificat service.entreprise.com j'ai 2 moyens :
- enregistrement DNS TXT service.entreprise.com : pas possible selon la RFC de faire un TXT s'il y a déjà un CNAME du même nom
- validation par email : si je transforme service.entreprise.com en sous-zone DNS pour y mettre des MX, la RFC dit que je ne peux pas créer de CNAME sur l'apex de la sous-zone service.entreprise.com, j'en avais parlé ici ya pas longtemps

J'en parle au fournisseur de certificat, qui me dit que je peux soit supprimer le CNAME temporairement le temps de la validation (vive le downtime), soit voir avec mon fournisseur DNS s'il y a moyen de faire quelque chose (c'est moi le fournisseur DNS de moi-même, donc non mon système suit les RFC ).

Je suis pas doué à me prendre tous les murs possibles, ou bien je suis en train de me rendre compte que les usages d'aujourd'hui de DNS commencent à bien diverger des usages d'origine ?
Vous connaissez d'autres solutions courantes et gérables ?
L'objectif c'est d'automatiser le renouvellement, ça s'annonce sympa, je ne voyais pas ça comme l'automatisation de fenêtres de maintenances downtime

J'ai vu que d'autres fournisseurs de certificat permettaient de valider via un fichier (validation HTTP), ou via un autre enregistrement DNS "enfant" de la zone à valider par exemple. Ya d'autres méthodes ?

 
TXT != CNAME cela ne pose pas de problème a créer un enregistrement de type TXT en plus du CNAME   Enfin cela me choque pas.
 
Sinon t'as pas b'soin d'un certificat dispendieux !
Reverse proxy type haproxy ou nginx ou apache avec gestion letsencrypt sur acl / filtrage.
Renouvellement auto tous les 3 mois basta, tu mets une sonde centreon ou autre quand même on ne sait jamais  

J'ai lu ces 2 posts et je n'ai rien capté  

bienvenue sur HFR, le vrai  

Oui aucun  souci d'avoir un record TXT en plus, c'est toujours comme ça que je valide les certificats, y compris chez AWS/GCP.

Le service SaaS ne suit pas le CNAME, pendant sa validation ? Je pense que dans l'esprit d'origine de la feature CNAME c'est ce qu'il faudrait faire, et je ne vois pas vraiment de raison de ne pas le faire.
Mais bon c'est sûr que tu peux pas les forcer

Pk tu dois créer une sous zone pour foutre un MX ?
Mais ça résoud pas le pb que tu as pour un même record un CNAME et soit un MX soit un TXT

Arrête de réfléchir. Tout monde s'en balec des rfc.

Tout pareil  

 
Depuis que je suis tombé sur une organisation qui a refusé nos connexions SMTP parce que le nom/PTR de nos passerelles mails contenait des underscores, j'essaye de rester nuancé dans mon appréciation de ce genre de question (et autant que possible respecter les RFC)

J'ai pas compris le début de ta phrase mais oui si les noms sont différents (ce que tu as voulu dire avec != ? ) alors c'est ok. Mais si c'est le même nom, tu peux pas avoir un TXT toto.domain.com avec comme valeur la random value de validation, et en même temps un CNAME toto.domain.com qui pointe sur google.com

Si on prend un service en SaaS c'est aussi pour éviter une dépendance avec un reverse proxy onprem ou n'importe où. Les certificats let's encrypt c'est un looong débat en interne, là c'est pour ma COGIP pas pour un projet perso.

Désolé T'imagines la migraine quand tu traines dedans régulièrement ? Vivement les vacances que je pense à autre chose

Les 2 avec exactement le même nom ?

Je suis pas sûr d'avoir tout compris ton message Le fournisseur SaaS n'est pas le même que le fournisseur de certificat, et moi je suis au milieu à gérer la configuration DNS. Ce n'est pas le fournisseur SaaS qui valide, c'est le fournisseur de certificat.
Est-ce qu'il faudrait que je demande au fournisseur SaaS de créer le TXT chez lui pour que le bot de validation de certificat suive le CNAME ? Si lui-même son instance toto123.saas.com c'est un CNAME pour envoyer sur un nom autogénéré AWS je suis pas sorti de l'auberge

Le but de la validation par email c'est de recevoir et/ou envoyer un email avec une adresse appartenant au domaine en question, pour prouver l'ownership, donc faut que la config mx/spf/jesaispasquoi soit en place pour que le service mail soit fonctionnel, donc il faut une zone pour mettre ces records, donc pas un CNAME qui a le nom de cette zone.

EDIT : ah je crois que j'ai compris ta question, tu dis que je pourrais mettre le MX sur la zone parente ? Oui en effet, mais comme tu dis j'ai tjrs le conflit entre le CNAME et n'importe quoi ayant le même nom

Ma solution software DNS s'en balec pas malheureusement, donc elle ne me laisse pas créer ce que je veux dans la zone

 
Ca montre qu'être "informaticien" aujourd'hui ne veut plus rien dire, il y a tellement de spécialisations...

Ben, ca a pas toujours été plus ou moins le cas?

Oui dans la logique du CNAME, tous les enregistrements vont sur le nom au bout de la chaîne, comme ça l'info est à un seul endroit et il ne peut pas y avoir de conflit entre des enregistrements contradictoires sur différents maillons de la chaîne. C'est pour ça qu'il est interdit de mettre d'autres enregistrements à côté d'un CNAME.
Maintenant dans ton cas en effet, si tu n'as pas la main sur le domaine au bout, ça va être compliqué Puis bon à tous les coups le validateur est écrit avec le cul et ne suit même pas le CNAME de toute façon

Après le coup de l'enregistrement autogénéré par AWS je dirais que c'est plus une opportunité qu'un problème parce qu'il doit être facile de chopper l'évènement au vol et de déclencher une lambda qui crée le TXT tant convoité, mais on va me traiter de futuriste

 
on parle d'une RFC de 1996 là quand même, rien de très moderne

C'est beau  

Le genre de boîte qui doit avoir une belle hygiène informatique  

J'avoue que j'ai jamais été confronté a un tel problème, j'ai la gestion des mes DNS et mes services, alors pour le challenge des certificats, généralement est demandé un enregistrement TXT avec un SELECTOR_RANDOM_ID.mondomaine.tld pour jamais être ennuyé.
 
Vous pouvez pas choisir un autre fournisseur de certificats ?    
 
C'est comme pour les sélécteurs DKIM, t'évite le générique _domainkey.mail.mondomaine.tld car 100% sur qu'il est déjà utilisé par le premier prestataire de messagerie sur le coup.