• [^] # Re: Et DANE simplement

    Posté par (site web personnel) . En réponse au journal Public Key Pinning Extension for HTTP. Évalué à 1.

    Je me suis déjà demandé comment se déploie DNSSEC, cette fois je me suis motivé à sortir mon wikipedia adoré:

    La clé peut être récupérée via le DNS lui-même (ce qui pose un problème d'œuf et de poule) ou bien par un autre moyen (diffusée via le Web et signée avec PGP par exemple).

    et

    Contrairement à d'autres protocoles comme SSL, il ne sécurise pas juste un canal de communication mais il protège les données, les enregistrements DNS, de bout en bout.

    J'en déduis que pour chaque site que je visite il faut que je le whitelist ?

    Ça parait trop aberrant, donc ça doit être autre chose. Il a une notion de CA ?

    Et du coup il y a même problème de pining au niveau de DNSSEC, soit c'est piné par le client, soit ça utilise un CA ?
    Et comment est géré le MITM qui supprime les enregistrements DNSSEC ?
    On fait confiance au cache des DNS, donc il faut systématiquement un serveur DNS local à la machine ?