<div dir="ltr"><div dir="ltr"><div>Hi all!</div><div><br></div><div>We did some further investigation on IRC, results inline.<br></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Wed, Jan 25, 2023 at 5:03 PM Jay Faulkner <<a href="mailto:jay@gr-oss.io">jay@gr-oss.io</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div>Hey all,</div><div><br></div><div>Ironic Python Agent uses oslo.service's wsgi module as a wsgi server, with the built in TLS support from sslutils.py. This sslutils.py support only works up to TLS v1.2. It needs some enhancement.</div></div></blockquote><div><br></div><div>A correction: sslutils only supports *limiting* TLS version to 1.2 or older. You cannot use its configuration to limit the TLS version to 1.3.</div><div><br></div><div>I just tried built-in TLS in Ironic locally and got 1.3:</div><div><br></div><div>$ openssl s_client -connect <a href="http://127.0.0.1:6385">127.0.0.1:6385</a> 2>&1 | grep TLS<br>New, TLSv1.3, Cipher is TLS_AES_256_GCM_SHA384</div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div><br></div><div>It was indicated to me in #openstack-oslo that there's nobody working on this module currently. I know that Ironic can't be the only consumer of this across OpenStack, so this is a call for interested parties and help.<br></div></div></blockquote><div><br></div><div>I do agree that we need to solve the question of maintaining oslo.service. We use it very extensively in all parts of Ironic.</div><div><br></div><div>Dmitry<br></div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div></div><div><br></div><div>We have to update this to support modern TLS. It's not an option. I'd rather not do it alone -- who wants to help?</div><div><br></div><div>I was tempted to put something up about this at the PTG; but I'm not sure it's significant enough to be worth that discussion so I'm starting here :).</div><div><br></div><div><br></div><div>Thanks,</div><div>Jay Faulkner</div><div>Ironic PTL<br></div></div>
</blockquote></div><br clear="all"><br>-- <br><div dir="ltr" class="gmail_signature"><div dir="ltr"><pre cols="72" style="white-space:pre-wrap"><a href="https://www.redhat.com/de/global/dach" target="_blank">Red Hat GmbH</a>, Registered seat: Werner von Siemens Ring 12, D-85630 Grasbrunn, Germany  
Commercial register: Amtsgericht Muenchen/Munich, HRB 153243,
<span>Managing</span> Directors: Ryan Barnhart, Charles Cachera, Michael O'Neill, Amy Ross</pre></div></div></div>