Webhook secret'imi rotate ettim, fresh delivery'ler geçti ama retry'lar 401 dönüyordu — thMenu'nun cron'unda dual-secret rotation parity eksikliği

Casablanca'da 35 yaşında PMS senior backend engineer Khaled Pazartesi sabah planlı bir HMAC signing-secret rotation kickoff etti — Stripe/GitHub/Slack 7-day overlap pattern'ı. 387 fresh delivery verifying fine, 25 retry-queue delivery'nin 23'ü 401 dönüyor. Forensic: fresh deliveries `X-thMenu-Signature: sha256=<new>,sha256=<prev>` (dual comma-separated), retry'lar tek `sha256=<new>` emit ediyordu. Bug: `cloudflare/src/cron-jobs/webhook-retry.ts:112` SELECT clause sadece `signing_secret` çekiyordu — `signing_secret_prev` PR #563 SS-B rotation feature ship'inde dispatcher'a doğru eklenmişti ama parallel CronTrigger'daki retry cron aynı sweep'te GÖZDEN KAÇMIŞTI. Khaled'in receiver'ı eski secret'a karşı validating → her retry 401 → consecutive_failures ≥ 5 → 7 subscription auto-paused. **PR #639 batch IV F1** fix: retry cron SELECT'e `signing_secret_prev` eklendi; comma-separated dual-signature header emit ediyor; `X-thMenu-Sig-Algorithm: sha256` negotiation header da eklendi. Pattern: dual-secret rotation = HER signing surface (dispatcher + retry + delayed-emit batch + replay UI) sweep'lenmeli; CI lint rule `signing_secret` HMAC sign call'larına paired `signing_secret_prev` read zorunlu kılıyor.

İlgili makaleler