DNSSEC est malheureusement peu utilisé, même par des structures où ils ont les moyens d'obtenir des compétences sur ce sujet: Domaines Signés avec DANE parmi les sites internet les plus populaires source Assez surpris qu'autant de DNS aient une péremption de moins d'heure. Dans le cas d'une migration, je veux bien, mais dans le reste du temps, cela me semble générer un trafique inutile.
Si comme toi, je souhaite qu'il ait une alternative aux Autorités de Certification, je profite de ce commentaire pour poser cette question: Es-ce que déléguer de la sécurité à DNS n'est pas dangereux ?
Je m'explique: dans ma GULL j'ai débattu sur l'intérêt de DKIM et surtout SPF. Ce dernier permet de déclarer d'où doivent provenir les courriels légitimes. Cette déclaration se fait au sein du DNS. J'ai été assez surpris d'entendre que certains informaticiens ne sont pas chaud pour lier encore plus SMTP à DNS. Sûrement une crainte que DNS ne devienne trop central et aussi la difficulté à gérer la dette historique du mail où la sécurité et l'authenticité des messages ne sont pas des priorités.
L'attaque contre DYNS peut leur donner raison: on est surpris qu'autant de grands du Web n'avait pas plus de redondance pour leur serveur DNS et que ce dernier n'était que dans un seul AS!
Après, je pense que Mozilla a des cartes en main pour pousser à l'usage de DANE:
avec Let's Encrypt, ils ont une possibilité d'automatiser l'envoi des information nécessaires au sein du DNS. Inconvénient: cela va complexifier/fragiliser l'usage de Let's Encrypt. Mais dès que cela marche une fois, le mécanisme automatique va faciliter bien des choses.
avec Firefox, Mozilla peut intégrer nativement DANE dans son navigateur. Mais sauf erreur la gestion du DNS est dévolu à l'OS. Cela obligerait Mozilla à faire un service DNS multiplateforme.
Et avant l'usage de DANE, il faudrait que l'usage de DNSSEC soit plus répandu et c'est clairement pas le cas. Cela sert à quoi d'avoir DANE nativement dans son navigateur si le DNS de ton FAI n'est pas sécurisé par DNSSEC? (Sauf erreur en France, seul Free le fait).
Si Mozilla a la possibilité de pousser au niveau des émetteurs et des récepteurs, comment va-ton gérer lorsque les données entre le DNS et l'AC seront contradictoires ? On considère que DNS a toujours raison (alors qu'il est peut-être juste pas à jour)? On averti l'utilisateur? (quand on voit la difficulté pour lui expliquer les certificats auto-signés ...).
Une question pour les Admin Sys, Mozilla utilise t-il DNSSEC pour ses sites web ??
[^] # DANE: on met pas toute sa sécurité dans un seul panier ??
Posté par cbri . En réponse à la dépêche Firefox 50 Cent. Évalué à 5.
DNSSEC est malheureusement peu utilisé, même par des structures où ils ont les moyens d'obtenir des compétences sur ce sujet:
Domaines Signés avec DANE parmi les sites internet les plus populaires
source
Assez surpris qu'autant de DNS aient une péremption de moins d'heure. Dans le cas d'une migration, je veux bien, mais dans le reste du temps, cela me semble générer un trafique inutile.
Si comme toi, je souhaite qu'il ait une alternative aux Autorités de Certification, je profite de ce commentaire pour poser cette question: Es-ce que déléguer de la sécurité à DNS n'est pas dangereux ?
Je m'explique: dans ma GULL j'ai débattu sur l'intérêt de DKIM et surtout SPF. Ce dernier permet de déclarer d'où doivent provenir les courriels légitimes. Cette déclaration se fait au sein du DNS. J'ai été assez surpris d'entendre que certains informaticiens ne sont pas chaud pour lier encore plus SMTP à DNS. Sûrement une crainte que DNS ne devienne trop central et aussi la difficulté à gérer la dette historique du mail où la sécurité et l'authenticité des messages ne sont pas des priorités.
L'attaque contre DYNS peut leur donner raison: on est surpris qu'autant de grands du Web n'avait pas plus de redondance pour leur serveur DNS et que ce dernier n'était que dans un seul AS!
Après, je pense que Mozilla a des cartes en main pour pousser à l'usage de DANE:
Et avant l'usage de DANE, il faudrait que l'usage de DNSSEC soit plus répandu et c'est clairement pas le cas. Cela sert à quoi d'avoir DANE nativement dans son navigateur si le DNS de ton FAI n'est pas sécurisé par DNSSEC? (Sauf erreur en France, seul Free le fait).
Si Mozilla a la possibilité de pousser au niveau des émetteurs et des récepteurs, comment va-ton gérer lorsque les données entre le DNS et l'AC seront contradictoires ? On considère que DNS a toujours raison (alors qu'il est peut-être juste pas à jour)? On averti l'utilisateur? (quand on voit la difficulté pour lui expliquer les certificats auto-signés ...).
Une question pour les Admin Sys, Mozilla utilise t-il DNSSEC pour ses sites web ??