Sauf les USA contrôlent déjà pleins d'autorités de certification. Donc, ils peuvent déjà signer pour le monde entier. Là, on limite à 3⁄4. C'est un progrès. Il ne reste plus qu'à avoir un script qui permet de vérifier que .com, le .be, le .br, le .ru et le .cn sont bien les mêmes et tu as beaucoup de chance que le contenu n'ait pas été modifié ☺.
Après, tu oublie un point important aussi. Cibler une machine en DNS est bien plus difficile qu'en HTTPS à cause des nombreux caches (bien sûr, si tu as la main sur l'infrastructure du FAI, c'est plus facile1). Tu risque donc que le propriétaire de la clef modifiée s'en rende compte et donc d'être bien moins discret.
si tu as la main en local, tu ajoute ton autorité ou désactive DNSSEC en fonction du cas. ↩
« Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche
[^] # Re: Et DANE simplement
Posté par claudex . En réponse au journal Public Key Pinning Extension for HTTP. Évalué à 6.
Sauf les USA contrôlent déjà pleins d'autorités de certification. Donc, ils peuvent déjà signer pour le monde entier. Là, on limite à 3⁄4. C'est un progrès. Il ne reste plus qu'à avoir un script qui permet de vérifier que .com, le .be, le .br, le .ru et le .cn sont bien les mêmes et tu as beaucoup de chance que le contenu n'ait pas été modifié ☺.
Après, tu oublie un point important aussi. Cibler une machine en DNS est bien plus difficile qu'en HTTPS à cause des nombreux caches (bien sûr, si tu as la main sur l'infrastructure du FAI, c'est plus facile1 ). Tu risque donc que le propriétaire de la clef modifiée s'en rende compte et donc d'être bien moins discret.
si tu as la main en local, tu ajoute ton autorité ou désactive DNSSEC en fonction du cas. ↩
« Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche