Reprise du message précédent :
tu bosses chez 0tc0puce ?

ah moi les déplacements ça me dérange pas, par contre faut payer le billet de train et l'hotel

non
 

pour ton cas, c'est mort !

maintenant je comprends la discrimination en fonction de son origine
 
Du coup je check un peu les boîtes en polonie, je me demande si ça se passe mieux que dans les cogip FR

https://www.reddit.com/r/sysadmin/c [...] own_dates/
 

 
Ceux qui n’automatisent pas vont pleurer

wtf

Sa va être amusant les échanges serveur à serveur avec double authentication via la chaîne de certification complète. Un incident de production tous les 45 jours parce qu'un admin oublie commander un certificat

Moi je pense surtout à la signature électronique et ceux qui ont des clés usb.

Il existe des fournisseurs de certificats qui te fournissent une clé USB avec ton propre certificat (signé par l'autorité de certificat).
Tu utilises cette clé pour signer des documents électroniques (ça demande un pin code).

Le processus pour en avoir une est complément pété, d'une lourdeur administrative digne d'un laisser-passer A38, donc changer tous les 45j, par personne (notamment dans une entreprise), je rigole.

ils ont fumé la moquette ou quoi ?  
 
45j
 
c'est quoi le but ? a part faire chier ?

Là ça parle de certificats TLS pour des serveurs web, ce dont s'occupe le forum CA/Browser...
Et encore, ça concerne j'imagine que les certificats publics, avec une PKI interne tu gères un peu comme tu veux (on a des PKI internes à droite à gauche, avec des certificats valables 2/3 ans encore).

Idem pour les certificats sur des clés en mode PIV, j'en ai pour des clients au boulot, je pense pas que ça soit concerné par ce qu'Apple / Google veulent imposer.

Forcer les gens à automatiser

c'est pour pas trop avoir à s'emmerder à gérer les révocations, non ?

puis une fois que c'est automatisé, que les certifs soient valides 1 ans ou 1 mois ne change pas grand chose.

Lors du passage de 825 à 398 jours (en 2020), Mozilla expliquait ceci : https://blog.mozilla.org/security/2 [...] -398-days/
 

C'est "simple" à automatiser pour 90% des trucs (un serveur web, du WinRM, un iDRAC, etc.)... mais quand tu as des appliances / applis toutes pourries où faut te connecter à une GUI, générer un CSR, puis sortir le certificat de ta PKI, tu peux y passer un temps fou.

chrome headless/selenium je sais pas quoi

On fait comment pour automatiser la signature papier par 2 membres présents sur le registre du commerce + photocopie datée de la pièce d'identité de chacun ?  
Mon fournisseur demande ce genre de documents pour générer un certificat EV, je vois mal les VIP se prêter à l'exercice tous les 45 jours

 
mais ça c'est des usages internes non ? Tu fais bien ce que tu veux...

 
Te plains pas, c'est eux qui vont bosser pour une fois (ou se demander s'il n'y aurait pas une autre solution)

Comment vous gérer vos compose en fonction des environnement ?
 
On pourrait dire que passer une env var pour définir l'environnement devrait suffire mais en fonction de dev/staging/prod certaines choses peuvent changer, comme la compilation au lieu du hot reloading sur dev.
 
Du coup si on veut séparer ça soit on fait un compose par environnement (ou au moins un nombre déterminé par un discriminant) soit on fait un compose mais on appelle que le service voulu quand on le monte.
 
J'arrive pas trop à me décider

Un fichier  . env qui contient toutes infos paramétrable dans le docker-compose

qué

Selon les cas, je me sers des fichiers .env ou (le plus souvent) des fichiers d'override : https://docs.docker.com/compose/how [...] les/merge/

Et une petite CVE 9.4 qui touche ESXi 6.x à 8.0, avec du "VM escape", une

 
Dur    
https://support.broadcom.com/web/ec [...] es/0/25390

 
pourquoi "dur" ?

 
9.4 exploitable depuis une machine virtuelle , c'est la course au patch .  
Ca change des habituelles vulnérabilités sur le vcenter .

Je viens de refaire un POC pour automatiser ça, avec un dépôt local stocké dans Nexus ou Artifactory, et Ansible pour piloter la mise à jour (avec coupure de la supervision, mise en maintenance du host, etc.)
 
Déclenché depuis Ansible Automation Platform, en 1 nuit tu mets à jour ton parc

Welcome to 2015  

Bienvenue dans la vraie vie, surtout
 
Je préfère déployer du PostgreSQL avec CloudNative PG + ArgoCD dans du K8s, ou faire de l'Event Driven Ansible relié à du Netbox, Dynatrace, etc.
 
Mais des morceaux d'infra "legacy" y'en a partout, j'essaye de faire au mieux pour les collègues qui s'en occupent...

L'essentiel c'est d'être payé et de sentir à peu près bien

Et voila, le CA/B Forum a voté
 
https://groups.google.com/a/groups. [...] UfhQ?pli=1
 

Donc les votants ce sont des fournisseurs de certificats, et les seuls clients votants sont parmi les GAFAM, et Mozilla pour un browser. Que du full automatisé pour la gestion de certificats. C'est sympa pour tous les petits clients qui n'ont pas de système qui supporte un renouvellement automatique, passer son temps à renouveler les certificats ou changer (racheter) de système ?

Idéalement ça ferait des feature request chez les dev de ces plus petits systèmes pour ajouter ce qui manque pour faciliter l'exploitation, pas sûr que ce soit si facile en réalité.

Et parmi les fournisseurs de certificats, un certain nombre propose une solution de CLM
 
J'ai un sujet avec la solution de Sectigo (qui semble pas mal, avec serveur ACME, agents qui sait s'interfacer avec pas mal de trucs). Sauf qu'accéder à ce service rajoute 20% au prix d'un certificat...

* des gens chez yous1gn ?
* niveau terraform, vous avez migré sur autre chose ? son fork ? j'ai cru que ça commence à avoir des différences entre terraform et l'autre, donc je suppose qu'il y'a un choix à faire désormais

Tjrs sur terraform, d'ailleurs j'update mes projets petit a petit sur une version plus a jour.

Ouais mais du coup la migration vers l'autre sera bien plus dur non ? (bon après on peut rester sur Terraform hein mais c'est pour savoir où va la communauté)

On est toujours sur terraform mais on reste sur les versions dont la migration est supportée par OpenTofu comme ça si on doit vraiment migrer on sera pas bloqués.

J'ai cru voir passer des fonctionnalités chez OT qui donne envie de migrer, vous avez noté des trucs sympas ?  
(je me reconnecte un peu, j'étais en vacances depuis quelques mois )

On a migré en mars.  
Une fonctionnalité qu'on utilise, chiffrement du state et du plan avec KMS.
Ca nous simplifie la vie pour les jobs gitlab notamment.

Ah ouais je crois que c'est ça que j'ai vu passer, c'est vrai que ça donne envie pour simplifier niveau GitOps
Après le stockage marchait bien dans GCS

Oui mais les plan/apply dans la CI avec des infos sensibles, c'était un peu relou (on chiffrait avec pgp + kms pour le remote state).

Pas testé encore le multi provider AWS, même si on a des use-cases pour ça, on a pas eu le temps de s'y pencher.

Y a la alpha 1.10 qui est sortie, pas encore regardé en détail.

Mais sinon pour 1.9, so far so good.