Mar 03, 2015 23:29
Хочу рассказать историю из моей практики. (Не-айтишникам будет не интересно)
Мы готовили релиз.
Собрали все нужные пакеты, тут я заметил что в дженкинсе сломана джоба которая отвечает за один из пакетов. Посмотрев от чего она сломалась я увидел важный фикс безопасности. Фикс содержал конфиг NGINX с обновленным ciphersuite (убраны старые версии TLS, добавлены новые), который внесли где-то год назад, но так и не донесли до продакшена. Починил сборку. Решили включить этот пакет в релиз.
Протестировали, все шикарно.
Выкатили релиз, разрывается телефон, паника, адЪ, Израиль, не работают продажи. А это худшая из возможных проблем.
Пара часов мата-перемата с поиском причины. В итоге методом исключения обнаруживаем этот пакет с ciphersuite. Но с ним все в порядке. Связываемся с овнерами гейта подписок, что за хуё-моё?
Оказывается, они поддерживают ciphersuites аккурат до исключенных в апдейте и не могут установить с нами соединение.
По всем формальным признакам я сделал лучше. Но это наложилось на отсталость поставщика подписочного гейта и в итоге дало адский конфликт протоколов.
С тех пор к словам вида "давно не работало, починил" относимся настороженно.
боль,
рабочее