<div dir="ltr"><div><div><div><div><div><div><div><div><div><div><div>Hello,<br><br></div>I've been working on TLS everywhere in the majority of this newton cycle. And proposed this blueprint <a href="https://review.openstack.org/#/c/282307/">https://review.openstack.org/#/c/282307/</a> (which has been approved in launchpad) somewhere around May.<br><br></div>There has been a lot of work trying to tackle blockers and doing a lot of pre-work that needed to happen before this (such as the keystone endpoints parts) but I think we're in a good track. The composable services/roles work also slowed this down, as some of that needed to land before this work could continue.<br><br></div>Here's the topic to follow the on-going work:<br><a href="https://review.openstack.org/#/q/status:open++branch:master+topic:bp/tls-via-certmonger">https://review.openstack.org/#/q/status:open++branch:master+topic:bp/tls-via-certmonger</a><br><br></div>The main remaining pieces of work are:<br></div>* Getting the services to listen to FQDNs instead of IP addresses (this will also help us tackle of IPv6 issues)<br></div>* TLS for internal endpoints in HAProxy<br></div>  - we need to figure out a way to get different internal certificates (one per network) and get haproxy to choose which to use. This should be easier thanks to Shardy's work.<br></div>* TLS for apache-based services<br></div>* TLS for non-apache based services (we might end up proxying this via apache or something else since we don't want to do crypto in python)<br><br></div>This is certainly not low-risk; but I think it is achievable and would bring great value to TripleO, as it would allow deployers that were previously blocked by regulations in their industry to start considering actually using TripleO.<br><br></div><div>I was also working on TLS everywhere in the undercloud, but did not get enough time to figure out some parts of it. So that work will not be included here.<br></div><div><br></div>BR<br><br><br clear="all"><div><div><div><div><div><div><div><div><div><div><div><div><div><div><br>-- <br><div class="gmail_signature" data-smartmail="gmail_signature"><div dir="ltr"><div><font style="font-family:arial narrow,sans-serif;color:rgb(102,102,102)" size="2">Juan Antonio Osorio R.<br>e-mail: <a href="mailto:jaosorior@gmail.com" target="_blank">jaosorior@gmail.com</a><br></font><font style="font-family:arial narrow,sans-serif;color:rgb(102,102,102)" size="2"><br></font></div></div></div>
</div></div></div></div></div></div></div></div></div></div></div></div></div></div></div>