<div dir="ltr"><div class="gmail_default" style="font-size:small">My whole approach is predicated on the theory that we have to take the human out of the admin loop if any data in the DNS is going to be worth using.</div><div class="gmail_default" style="font-size:small"><br></div><div class="gmail_default" style="font-size:small">Network admin is painful because you have multiple systems that need to be kept in sync, you have the service configuration, the DNS, the network, the firewall/NAS and of course the WebPKI.</div><div class="gmail_default" style="font-size:small"><br></div><div class="gmail_default" style="font-size:small">The admin model is all the network config information goes into one place that serves as the source of truth from which all the component configurations are computed.</div><div class="gmail_default" style="font-size:small"><br></div><div class="gmail_default" style="font-size:small"><br></div></div><br><div class="gmail_quote gmail_quote_container"><div dir="ltr" class="gmail_attr">On Wed, Feb 26, 2025 at 7:48 PM George Michaelson <<a href="mailto:ggm@algebras.org">ggm@algebras.org</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div dir="ltr">In the same spirit, I know a group using them but they're so prone to bitrot, from OS upgrade, which with virtuals is a low cost operation and mostly avoids issues for the real job of the machine: individuals keying info is in their home states which copy in from other places, but the SSHFP information is recreated in the new VM build, and then nobody remembers to update the central view.<div><br></div><div>I think the record itself structurally is fine. But the operational duty cycle over it, is probably not adequately integrated into systems. "Don't forget to update your SSHFP record for this host" or "I am re-using the host SSHID information you copied into my install process" type stories would help.</div><div><br></div><div>-G</div></div></div>
_______________________________________________<br>
Ssh mailing list -- <a href="mailto:ssh@ietf.org" target="_blank">ssh@ietf.org</a><br>
To unsubscribe send an email to <a href="mailto:ssh-leave@ietf.org" target="_blank">ssh-leave@ietf.org</a><br>
</blockquote></div>