<div dir="ltr"><div class="gmail_extra"><br><div class="gmail_quote">On Wed, Feb 3, 2016 at 9:36 PM, Jeremy Cline <span dir="ltr"><<a href="mailto:jcline@redhat.com" target="_blank">jcline@redhat.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><br>
Is there any reason to be configuring an event listener to POST to a<br>
URL over HTTPS when you expressly *don't* want to be secure?<br>
<span><br></span></blockquote><div><br></div><div>Good point, although at the moment I suspect it's an issue of convenience. If an app like katello does not care about security of this particular communication, it is best to expose an http endpoint without SSL. However we can appreciate that having to expose only one API endpoint that way while the rest of an app's API is only served with SSL introduces new complexities in their deployment model. It is likely to be simpler on the whole to add a setting to the notifier that optionally disables the check, so users don't have to change their apps to use pulp 2.8.</div><div><br></div><div>More generally, for testing deployments or proofs-of-concept, where SSL is desired but legit certs are not worth procuring, it may be reasonable to use https without verification. This is the general use case for why most http clients support an option to disable cert verification.</div><div><br></div><div>Michael</div></div></div></div>