• # DANE et DNSSEC

    Posté par . En réponse à la dépêche Du chiffrement et de la sécurité sur LinuxFr.org (statut au 24/11/2013). Évalué à 2.

    À propos de DANE, je ne comprends pas trop pourquoi il oblige à utiliser DNSSEC. Je trouve que DANE sans DNSSEC apporte déjà de la sécurité, en compliquant la tâche de l'attaquant, même si ça reste sensible à certaines attaques man-in-the-middle. Ça permet déjà de se protéger de "proxy ssl", en passant par le serveur DNS de son choix, et en vérifiant que le certificat présenté par le proxy est correct.

    Je voudrais bien utiliser DANE pour mes sites, mais je trouve DNSSEC bien compliqué à mettre en place, surtout que je n'ai pas de serveur DNS installé. Est-ce que je me trompe, et est-ce que je devrais envisager de gérer le DNS moi-même ?