• [^] # Re: Et DANE simplement

    Posté par . En réponse au journal Public Key Pinning Extension for HTTP. Évalué à 5.

    On implémente le pinning proprement au niveau de TLS ? Et on mets en place le certificate transparency sur le long terme ?

    Pourquoi pas ? Implémenter DNSSEC/DANE n’interdit pas les autres méthodes. Personne n’a jamais dit que DANE devait être le seul moyen d’authentifier un serveur TLS.

    Tout comme IE6 ont pourrit la vie des devs Web pendant 10 ans, tu vas forcément continuer à avoir des utilisateurs sous IE9 ou Android 2.3 qui ne géreront pas correctement DANE pendant des années et des années.

    Avec cet argument là, autant ne rien faire du tout...

    Donc rien que pour ceux là, tu devras aussi faire signer ton certificat par une autorité de certification et rentrer dans le business juteux des CAs qui continueroent de vivre paisiblement.

    Encore une fois, DANE n’a pas la prétention de remplacer d’un coup tout le reste. Au contraire, DANE prévoit explicitement la possibilité d’être utilisé en complément du système PKIX. Ceux qui le souhaitent peuvent utiliser DANE exclusivement (sélecteur TLSA sur DANE-TA ou DANE-EE), mais ce n’est pas une obligation.

    Au passage, Certificate Transparency est beaucoup moins flexible sur ce plan, puisqu’il interdit explicitement tout certificat qui n’aurait pas été émis par le cartel des CA.