Et DNSSEC est un monstre à déployer et supporter. Un monstre qui actuellement n'est supporter par personne, ni coté client, ni coté serveur.
Euh... tu parles en connaissance de cause ou juste ce que tu crois?
En connaissance de cause, parce que j'ai mon domaine perso avec dnssec.
C'est tellement compliqué à déployer que j'ai mis plus de temps à configurer exim et dovecot au petit oignons comme je le voulais que dnssec.
Tellement compliqué à administrer que cela me demande 1 à 2j tous les 2ans (la KSK rollover), et est absolument transparent pour tous les workflow existant.
Aucun serveur ni client ne le supporte ... Juste bind, qui est le serveur dns de référence.
Bind supporte même maintenant la gestion automatique des clés. Mais ca doit être parce que c'est trop compliqué ...
Bon si un admin esseulé peut le faire tranquillement dans son coin sur sa machine perso, je doute qu'on puisse expliquer que c'est une usine à gaz (comme un MS exchange par ex...)
Je suis actuellement dans une organisation de 15000 personnes où ni DNSSEC ni DANE ne peut pas marcher, et ne marchera sûrement jamais. Simplement parce que les requètes DNS sont filtrées, comme dans beaucoup d'environnement pro.
Euh dans très peu d'organisation pro on filtre les dns.
On gère les résolveurs suivant les zones. Mais on ne filtre (comprendre autoriser certains records et pas d'autres) pas les DNS.
C'est une mauvaise pratique.
Si on veut jouer à celui qui a la plus grosse. Certaines organisations bien plus grosses (d'un ou deux ordres de magnitudes) commencent à utiliser dnssec sur une partie de leur infrastructure. Je présume que c'est parce qu'elles n'y connaissent rien ?
[^] # Re: Et DANE simplement
Posté par briaeros007 . En réponse au journal Public Key Pinning Extension for HTTP. Évalué à 3.
Euh... tu parles en connaissance de cause ou juste ce que tu crois?
En connaissance de cause, parce que j'ai mon domaine perso avec dnssec.
C'est tellement compliqué à déployer que j'ai mis plus de temps à configurer exim et dovecot au petit oignons comme je le voulais que dnssec.
Tellement compliqué à administrer que cela me demande 1 à 2j tous les 2ans (la KSK rollover), et est absolument transparent pour tous les workflow existant.
Aucun serveur ni client ne le supporte ... Juste bind, qui est le serveur dns de référence.
Bind supporte même maintenant la gestion automatique des clés. Mais ca doit être parce que c'est trop compliqué ...
Bon si un admin esseulé peut le faire tranquillement dans son coin sur sa machine perso, je doute qu'on puisse expliquer que c'est une usine à gaz (comme un MS exchange par ex...)
Euh dans très peu d'organisation pro on filtre les dns.
On gère les résolveurs suivant les zones. Mais on ne filtre (comprendre autoriser certains records et pas d'autres) pas les DNS.
C'est une mauvaise pratique.
Si on veut jouer à celui qui a la plus grosse. Certaines organisations bien plus grosses (d'un ou deux ordres de magnitudes) commencent à utiliser dnssec sur une partie de leur infrastructure. Je présume que c'est parce qu'elles n'y connaissent rien ?