veza/docs/runbooks/SECRET_ROTATION.md

Runbook — Rotation des secrets

JWT_SECRET

1. Générer un nouveau secret : openssl rand -base64 32
2. Déployer avec l’ancien et le nouveau (dual-secret) si l’app le supporte
3. Sinon : maintenance window
   • Mettre à jour JWT_SECRET dans le déploiement
   • Redémarrer l’API
   • Tous les tokens existants sont invalidés (re-login requis)

CHAT_JWT_SECRET

Même procédure que JWT_SECRET. Doit être synchronisé entre backend et chat/stream si partagé.

OAUTH_ENCRYPTION_KEY

Utilisé pour chiffrer les tokens OAuth en DB. Rotation complexe :

1. Ne pas supprimer l’ancienne clé tant que des tokens chiffrés existent
2. Ajouter la nouvelle clé dans la config
3. Les nouveaux tokens utilisent la nouvelle clé
4. Après expiration des anciens tokens, retirer l’ancienne clé

STREAM_SERVER_INTERNAL_API_KEY / INTERNAL_API_KEY

Doivent correspondre entre backend et stream server.

1. Générer : openssl rand -hex 32
2. Mettre à jour les deux côtés quasi-simultanément
3. Redémarrer backend et stream server

DATABASE_URL

1. Créer un nouvel utilisateur avec un nouveau mot de passe en DB
2. Mettre à jour DATABASE_URL dans le déploiement
3. Redémarrer l’API
4. Révoquer l’ancien utilisateur après validation