• [^] # Re: Juste pour compléter la liste

    Posté par . En réponse au journal L'avenir de la sécurité de nos sites oueb : DNSSEC / HPKP / DANE TLSA / CSP. Évalué à 2.

    il faut obligatoirement que le certificat soit valide pour ce nom

    Non.
    Tu te connecte à ce que tu veux - la validation du VPN ce fait après. Tu confonds avec SSL.
    La plupart des systèmes VPN utilisent un certificat X509 - mais il est rarissime qu'il y ait une architecture PKI derrière. De toutes façons la première étape de quasiment tous les VPN est de créer un tunnel puis de faire la validation par ce tunnel.

    Tout ce qui se passe dans le tunnel est déjà privé. J'ai des VPN vers des domaines locaux, à savoir tu te connectes au VPN par IP ou par un DN classique, mais une fois le VPN monté ta carte virtuelle est sur mondomaine.local. Le certificat signe mondomaine.local et c'est le seul certif que le client valide.

    Donc ZMAP ne peut rien faire.

    Encore une fois, la doc de CloudFlare n’est pas de la mitigation d’attaque, mais de la diminution d’amplification d’attaque.

    Non plus, ils parlent aussi (brièvement) des cas d'amplification d'attaque (auquels ils ne participent pas grâce à différentes techniques qu'ils aimeraient bien voir se rependre) - mais ils se focalisent surtout sur les signatures dynamiques avec ECDSA qui permettent d'éviter les énumérations de domaine.