<div dir="auto">Thanks Danny,<div dir="auto"><br></div><div dir="auto">Better understood, the offline portion of the process.<br><div dir="auto"><br></div><div dir="auto">So .....<div dir="auto"><br></div><div dir="auto">A simple Nagios plugin can be bright yellow 7 days to doomsday and blood red, three days to doomsday. Visible to all devops.</div><div dir="auto"><br></div><div dir="auto">Email is just too basic as an alert.</div><div dir="auto"><br></div><div dir="auto">Sunday.</div></div></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Wed, Apr 10, 2019, 14:11 Daniel Shaw via Community-Discuss <<a href="mailto:community-discuss@afrinic.net">community-discuss@afrinic.net</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div>Hi Mark, Saul, Sunday, all,</div><div><br></div><div>I suppose that Cedrick or other staff may possibly reply in due course with more details as regards this specific implementation of a CA (aka the AFRINIC RPKI CA). However let me respond a bit generally about the reason to have an offline portion of a CA.<br></div><div><br></div><div>Ultimately, a CA involves certificates and crypto as we all know. And this needs keys, including private keys. The integrity of the entire system below the CA depends on the top level private keys being ... private.<br></div><div><br></div><div>To automate anything the system doing the automation needs to connect to the system being automated. In other words everything has to be "online" to an extent. The thinking, generally, is that anything that is connected to other things has the potential, however small the chance to be compromised. Therefore, the best way to ensure absolute and certain privacy of the all-important private key material is to "air-gap" it.<br></div><div><br></div><div>And thus it follows that when something else needs to be signed/verified using these offline keys, you also don't want to copy them online, even briefly and so you do the work offline and then copy the results back online. It is this copy - bridging the air gap - that requires a human.<br></div><div><br></div><div>Put another way: You can't really automate sneaker-net.<br></div><div><br></div><div>- Daniel</div><div><br></div><div class="m_4159586580491990857protonmail_signature_block"><div class="m_4159586580491990857protonmail_signature_block-user m_4159586580491990857protonmail_signature_block-empty"><br></div><div class="m_4159586580491990857protonmail_signature_block-proton"><br></div></div><div>‐‐‐‐‐‐‐ Original Message ‐‐‐‐‐‐‐<br></div><div> On Wednesday, April 10, 2019 8:32 AM, Mark Tinka <<a href="mailto:mark.tinka@seacom.mu" target="_blank" rel="noreferrer">mark.tinka@seacom.mu</a>> wrote:<br></div><div> <br></div><blockquote class="m_4159586580491990857protonmail_quote" type="cite"><div><span style="font-family:Tahoma">Thanks, Cedrick.<br> <br> A question that is, perhaps, obvious... are you able to take the
      human component out of this? </span><br></div></blockquote><div><br></div>_______________________________________________<br>
Community-Discuss mailing list<br>
<a href="mailto:Community-Discuss@afrinic.net" target="_blank" rel="noreferrer">Community-Discuss@afrinic.net</a><br>
<a href="https://lists.afrinic.net/mailman/listinfo/community-discuss" rel="noreferrer noreferrer" target="_blank">https://lists.afrinic.net/mailman/listinfo/community-discuss</a><br>
</blockquote></div>