<div dir="ltr"><div class="gmail_extra"><div class="gmail_quote">On Sat, Sep 28, 2013 at 10:14 PM, Piotr Sikora <span dir="ltr"><<a href="mailto:piotr@cloudflare.com" target="_blank">piotr@cloudflare.com</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">Hi,<br>
<div class="im"><br>
> My patch was designed not to use multiple keyfiles and keynames in nginx<br>
> config so it's able to rotate keys with simple logic, only updating keyfile.<br>
<br>
</div>IMHO, that makes the key rollover much harder than it should be, that<br>
is: you need to regenerate keyfile with number of older keys + new one<br>
vs just add new key (and optionally remove some of the old ones).<br>
<div class=""><div class="h5"><br></div></div></blockquote><div><div><br>That depends on key distribution scheme - you can distribute only new keys and store old keys on nginx server only.<br>But with your patch you should also rotate "default" key in nginx config and it complicates the logic (in my schema) a bit.<br>
Anyway - I'm not sure if keyname is meaningful parameter in periodic key rotation scheme. For me - it is not.<br></div><br> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
<div class=""><div class="h5">
Best regards,<br>
Piotr Sikora<br>
<br>
_______________________________________________<br>
nginx-devel mailing list<br>
<a href="mailto:nginx-devel@nginx.org">nginx-devel@nginx.org</a><br>
<a href="http://mailman.nginx.org/mailman/listinfo/nginx-devel" target="_blank">http://mailman.nginx.org/mailman/listinfo/nginx-devel</a><br>
</div></div></blockquote></div><br></div></div>