Je ne suis pas d'accord non plus avec l'article.
Il semble confondre beaucoup de choses et surtout se baser sur des "on dit".
dnssec existe depuis longtemps... Son déployement à grande échelle reste récent (après les failles kaminski) et est mis à jour (dernière RFC sur des allocations d'algorithm : 2010).
N'est pas sécurisé ... Ben autant que TLS , il se basent sur les même algo. Et les clés sont modifié beaucoup beaucoup plus souvent que celles de TLS (une zsk est modifié entre 2 semaines et 1 mois, à comparer à 2 ans avec un certificat).
Est compliqué à mettre en place... un script, un répertoire spécifique , et une clé à poussé à son registrar tous les 2 ans, c'est pas plus compliqué que la PKI/TLS.
Est cher ... à 200-400€ le certificat simple pour une pki standard, vs 0€ en dnssec le calcul est vite fait.
Ne protège pas le "last mile" ... pas plus que le TLS. Cf le besoin de clé pinning.
DNSSEC est controlé par les gouvernements... Ni plus, ni moins que les CA, voir même plutot moins.
Il dit que Kadhafi aurait pu utiliser son controle sur le DNSSEC... Si je ne m'abuse les certificats COMODO etc... ont été utilisé par ce même gouvernement, et on parle pas des certificats CA de l'ANSSI pour faire du MITM dans un ministère.
(pour la petite histoire, l'ANSSI ne met pas de tls ni de dnssec sur ses sites ce qui fait qu'il est impossible d'être sur des référentiels de sécurité du gouvernement XD).
Je ne parle pas du patriot act ou de FISA et de ses gag order(NSA inside)
bref, pas convaincu par son argumentaire, d'autant plus qu'il oublit un problème fondamental : c'est la seule solution actuellement contre le cache poisonning qui sera de plus en plus possible avec l'augmentation des débits.
[^] # Re: Et DANE simplement
Posté par briaeros007 . En réponse au journal Public Key Pinning Extension for HTTP. Évalué à 9.
Je ne suis pas d'accord non plus avec l'article.
Il semble confondre beaucoup de choses et surtout se baser sur des "on dit".
dnssec existe depuis longtemps... Son déployement à grande échelle reste récent (après les failles kaminski) et est mis à jour (dernière RFC sur des allocations d'algorithm : 2010).
N'est pas sécurisé ... Ben autant que TLS , il se basent sur les même algo. Et les clés sont modifié beaucoup beaucoup plus souvent que celles de TLS (une zsk est modifié entre 2 semaines et 1 mois, à comparer à 2 ans avec un certificat).
Est compliqué à mettre en place... un script, un répertoire spécifique , et une clé à poussé à son registrar tous les 2 ans, c'est pas plus compliqué que la PKI/TLS.
Est cher ... à 200-400€ le certificat simple pour une pki standard, vs 0€ en dnssec le calcul est vite fait.
Ne protège pas le "last mile" ... pas plus que le TLS. Cf le besoin de clé pinning.
DNSSEC est controlé par les gouvernements... Ni plus, ni moins que les CA, voir même plutot moins.
Il dit que Kadhafi aurait pu utiliser son controle sur le DNSSEC... Si je ne m'abuse les certificats COMODO etc... ont été utilisé par ce même gouvernement, et on parle pas des certificats CA de l'ANSSI pour faire du MITM dans un ministère.
(pour la petite histoire, l'ANSSI ne met pas de tls ni de dnssec sur ses sites ce qui fait qu'il est impossible d'être sur des référentiels de sécurité du gouvernement XD).
Je ne parle pas du patriot act ou de FISA et de ses gag order(NSA inside)
bref, pas convaincu par son argumentaire, d'autant plus qu'il oublit un problème fondamental : c'est la seule solution actuellement contre le cache poisonning qui sera de plus en plus possible avec l'augmentation des débits.