En el archivo de configuración de Puppet (/etc/puppet/puppet.conf), el parámetro certificate_revocation controla si Puppet debe verificar la revocación de certificados cuando se comunican el agente (nodo) y el servidor Puppet.
certificate_revocation=false: Este valor indica que Puppet no verificará si los certificados han sido revocados. Es decir, no se consultará ninguna lista de revocación de certificados (CRL, por sus siglas en inglés) durante la comunicación entre el agente y el servidor.
Contexto y uso
Puppet utiliza certificados SSL/TLS para autenticar y asegurar la comunicación entre el servidor Puppet y los nodos (agentes). La revocación de certificados es un mecanismo de seguridad que permite invalidar un certificado antes de su fecha de expiración, por ejemplo, si se sospecha que ha sido comprometido.
Al establecer certificate_revocation=false, se desactiva esta verificación, lo que puede mejorar el rendimiento en entornos donde la revocación de certificados no es una preocupación o no se utiliza. Sin embargo, también reduce la seguridad, ya que no se detectarán certificados que hayan sido revocados.
Cuándo usarlo
- En entornos pequeños o de confianza donde la revocación de certificados no es necesaria.
- Si el servidor Puppet no está configurado para emitir o gestionar listas de revocación de certificados (CRL).
- Para evitar problemas de rendimiento en entornos con muchos nodos, donde la verificación de revocación podría ralentizar las operaciones.
Alternativa
Si la seguridad es una prioridad, es recomendable mantener certificate_revocation=true (valor predeterminado en muchas configuraciones) y asegurarse de que el servidor Puppet esté correctamente configurado para gestionar y distribuir listas de revocación de certificados.
Ejemplo en puppet.conf
[main]
certificate_revocation = false
Be the first to comment