
<div dir="ltr"><div>Sheena,<br><br></div>We may turn off SSL right before the release. However, to test it better, I would turn it on. In this case every CI run will be helping to test it better.<br></div><div class="gmail_extra"><br clear="all"><div><div class="gmail_signature"><div dir="ltr">--<br>

Best regards,<br>

Sergii Golovatiuk,<br>

Skype #golserge<br>

IRC #holser<br></div></div></div>

<br><div class="gmail_quote">On Wed, Jul 22, 2015 at 5:51 AM, Sheena Gregson <span dir="ltr"><<a href="mailto:sgregson@mirantis.com" target="_blank">sgregson@mirantis.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div link="blue" vlink="purple" lang="EN-US"><div><p class="MsoNormal"><span style="font-size:10.0pt;font-family:"Cambria",serif;color:#1f497d">I believe the last time we discussed this, the majority of people were in favor of enabling SSL by default for all public endpoints, which would be my recommendation.</span></p><p class="MsoNormal"><span style="font-size:10.0pt;font-family:"Cambria",serif;color:#1f497d"> </span></p><p class="MsoNormal"><span style="font-size:10.0pt;font-family:"Cambria",serif;color:#1f497d">As a reminder, this will mean that users will see a certificate warning the first time they access the Fuel UI.  We should document this as a known user experience and provide instructions for users to swap out the self-signed certificates that are enabled by default for their own internal CA certificates/3<sup>rd</sup> party certificates.</span></p><p class="MsoNormal"><span style="font-size:10.0pt;font-family:"Cambria",serif;color:#1f497d"> </span></p><p class="MsoNormal"><b><span style="font-size:11.0pt;font-family:"Calibri",sans-serif">From:</span></b><span style="font-size:11.0pt;font-family:"Calibri",sans-serif"> Mike Scherbakov [mailto:<a href="mailto:mscherbakov@mirantis.com" target="_blank">mscherbakov@mirantis.com</a>] <br><b>Sent:</b> Wednesday, July 22, 2015 1:12 AM<br><b>To:</b> Stanislaw Bogatkin; Sheena Gregson<br><b>Cc:</b> OpenStack Development Mailing List (not for usage questions)<br><b>Subject:</b> Re: [Fuel] SSL feature status</span></p><div><div class="h5"><p class="MsoNormal"> </p><div><p class="MsoNormal">Thanks Stas. My opinion is that it has to be enabled by default. I'd like product management to shine in here. Sheena?</p><div><p class="MsoNormal"> </p></div><div><p class="MsoNormal"> </p><div><div><p class="MsoNormal">On Tue, Jul 21, 2015 at 11:06 PM Stanislaw Bogatkin <<a href="mailto:sbogatkin@mirantis.com" target="_blank">sbogatkin@mirantis.com</a>> wrote:</p></div><blockquote style="border:none;border-left:solid #cccccc 1.0pt;padding:0in 0in 0in 6.0pt;margin-left:4.8pt;margin-right:0in"><div><p class="MsoNormal">Hi,</p><div><p class="MsoNormal"> </p></div><div><p class="MsoNormal">we have a spec that says we disable SSL by default and it was successfully merged with that, no one was against such decision. So, if we want to enable it by default now - we can. It should be done as a part of our usual process, I think - I'll create a bug for it and fix it.</p></div><div><p class="MsoNormal"> </p></div><div><p class="MsoNormal">Current status of feature is next:</p></div><div><p class="MsoNormal">1. All codebase for SSL is merged</p></div><div><p class="MsoNormal">2. Some tests for it writing my QA - not all of them are done yet.</p></div><div><p class="MsoNormal"> </p></div><div><p class="MsoNormal">I'll update blueprints as soon as possible. Sorry for inconvenience.</p></div></div><div><p class="MsoNormal"> </p><div><p class="MsoNormal">On Mon, Jul 20, 2015 at 8:44 PM, Mike Scherbakov <<a href="mailto:mscherbakov@mirantis.com" target="_blank">mscherbakov@mirantis.com</a>> wrote:</p><blockquote style="border:none;border-left:solid #cccccc 1.0pt;padding:0in 0in 0in 6.0pt;margin-left:4.8pt;margin-right:0in"><div><p class="MsoNormal">Hi guys,</p><div><p class="MsoNormal">did we enable SSL for Fuel Master node and OpenStack REST API endpoints by default? If not, let's enable it by default. I don't know why we should not.</p></div><div><p class="MsoNormal"> </p></div><div><p class="MsoNormal">Looks like we need to update blueprints as well [1], [2], as they don't seem to reflect current status of the feature.</p></div><div><p class="MsoNormal"> </p></div><div><p class="MsoNormal">[1] <a href="https://blueprints.launchpad.net/fuel/+spec/ssl-endpoints" target="_blank">https://blueprints.launchpad.net/fuel/+spec/ssl-endpoints</a></p></div><div><p class="MsoNormal">[2] <a href="https://blueprints.launchpad.net/fuel/+spec/fuel-ssl-endpoints" target="_blank">https://blueprints.launchpad.net/fuel/+spec/fuel-ssl-endpoints</a></p></div><div><p class="MsoNormal"> </p></div><div><p class="MsoNormal">Stas, as you've been working on it, can you please provide current status?</p></div><div><p class="MsoNormal"> </p></div><div><p class="MsoNormal">Thanks,</p></div><div><p class="MsoNormal"><span style="color:#888888"> </span></p></div></div><div><p class="MsoNormal"><span style="color:#888888">-- </span></p></div><div><p class="MsoNormal"><span style="color:#888888">Mike Scherbakov<br>#mihgen</span></p></div></blockquote></div><p class="MsoNormal"> </p></div></blockquote></div></div></div><div><p class="MsoNormal">-- </p></div><div><p class="MsoNormal">Mike Scherbakov<br>#mihgen</p></div></div></div></div></div>

<br>__________________________________________________________________________<br>

OpenStack Development Mailing List (not for usage questions)<br>

Unsubscribe: <a href="http://OpenStack-dev-request@lists.openstack.org?subject:unsubscribe" rel="noreferrer" target="_blank">OpenStack-dev-request@lists.openstack.org?subject:unsubscribe</a><br>

<a href="http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-dev" rel="noreferrer" target="_blank">http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-dev</a><br>

<br></blockquote></div><br></div>