<div dir="ltr">I'm glad we're clarifying use cases, but back to agreeing on a solution: <span style="font-size:12.8px">Would it be sufficient for katello if we added an option to that notifier to skip cert verification, but make the default behavior to do the validation? Would anyone object to that?</span><div><span style="font-size:12.8px"><br></span></div><div><span style="font-size:12.8px">That would be a simple fix to help avoid breaking compatibility for users on upgrade to 2.8. Regardless of what the ideal behavior should be, the current behavior in 2.8 is different and obviously incompatible with assumptions that users have made with previous versions.</span></div><div><span style="font-size:12.8px"><br></span></div><div><span style="font-size:12.8px">Michael</span></div></div><div class="gmail_extra"><br><div class="gmail_quote">On Wed, Feb 3, 2016 at 5:30 PM, Bryan Kearney <span dir="ltr"><<a href="mailto:bkearney@redhat.com" target="_blank">bkearney@redhat.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">On 02/03/2016 09:55 AM, Eric Helms wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<br>
<br>
----- Original Message -----<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
From: "Randy Barlow" <<a href="mailto:rbarlow@redhat.com" target="_blank">rbarlow@redhat.com</a>><br>
To: "Eric Helms" <<a href="mailto:ehelms@redhat.com" target="_blank">ehelms@redhat.com</a>><br>
Cc: "Jeremy Cline" <<a href="mailto:jcline@redhat.com" target="_blank">jcline@redhat.com</a>>, <a href="mailto:pulp-list@redhat.com" target="_blank">pulp-list@redhat.com</a><br>
Sent: Wednesday, February 3, 2016 9:46:20 AM<br>
Subject: Re: [Pulp-list] Pulp 2.6 vs 2.8 event notifier question<br>
<br>
On Wed, Feb 03, 2016 at 09:40:09AM -0500, Eric Helms wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
Not to be argumentative, but that seems like a cop out. I would think as a<br>
user I should be able to provide you with the CA certificate that should<br>
be used for verification for a given event notification. I realize this is<br>
a deprecated feature and my intent is not to incur more work. However, I<br>
do find value in having the right solution in place.<br>
</blockquote>
<br>
Isn't it the case that Katello is not in this situation? I.e., Katello<br>
has the power to install the ca trust for the call back? Also, it<br>
doesn't make sense to use https:// if you don't want trust to happen.<br>
TLS is for two things: trust and privacy, and you can't have privacy<br>
without trust.<br>
</blockquote>
<br>
Katello isn't - but I never said I was arguing for Katello's specific deployment scenario. I am looking at this from the general use case. If there is a Pulp installed over on Server A, and I have access to use it via the CLI or API and want to set up an event notifier to hit my box running on Server B that is running via HTTPS I cannot, at present, do this because I have to implant my server CA certificate on Server A which I may not have control over. Unless I am missing something fundamental to this workflow?<br>
<br>
</blockquote>
<br></span>
I tend to agree.. I htink it would be good to completely configure a repo from the API. However, I do realize that openssl makes things super sucky in order to increase security.<span class="HOEnZb"><font color="#888888"><br>
<br>
-- bk</font></span><div class="HOEnZb"><div class="h5"><br>
<br>
<br>
_______________________________________________<br>
Pulp-list mailing list<br>
<a href="mailto:Pulp-list@redhat.com" target="_blank">Pulp-list@redhat.com</a><br>
<a href="https://www.redhat.com/mailman/listinfo/pulp-list" rel="noreferrer" target="_blank">https://www.redhat.com/mailman/listinfo/pulp-list</a><br>
</div></div></blockquote></div><br></div>