Cette installation est automatisée par Ansible et installe Duniter via l’image docker en tant que service dans une Stack Docker sur un réseau Swarm. (ah ça pète ça hein ? )
La syncro est aussi gérée par Ansible (sync en mémoire, puis mise à jour des données dans le dossier de Duniter).
Il faut maintenant que j’ajoute le SSL, mes clefs privées via le vault Ansible, et un nom de domaine pour me la péter encore plus !
Questions :
Est-ce obliger de passer par nginx ou autre passerelle pour avoir le SSL ?
Quelqu’un sait comment on obtient un nom de domaine chez le FAI FDN, ? Parce que la réponse à ma demande a été un peu « configure toi-même nos serveurs DNS » ou fait le tien…
Est-ce vraiment important de sécuriser les connexions avec SSL pour Duniter sachant qu’il n’y a pas de credentials qui circulent dans ces connexions ? Ou bien vous le faîtes pour une intégration propre dans vos serveurs déjà sécurisés pour d’autre services ?
C’est surtout important pour les API client (BMA et GVA) afin d’éviter l’attaque de l’homme du milieu, le client pourrait alors recevoir des informations sciemment modifiées par un attaquant malveillant quand bien même le nœud Duniter contacté est honnête.
En revanche, pour WS2P ça ne sert peut-être pas, car le handshake est signé, mais une fois le handshake abouti, les messages suivant ne sont plus signés et sont en clair. Je ne sais pas dans quelle mesure cela permet des attaques ou non, dans le doute tous les échanges seront chiffrés nativement dans WS2Pv2.
)