• [^] # Re: DANE: on met pas toute sa sécurité dans un seul panier ??

    Posté par . En réponse à la dépêche Firefox 50 Cent. Évalué à 5.

    Je vais essayer de répondre dans l’ordre.

    Globalement, le DNSSEC est très peu déployé parce que ça ne sert pas à grand chose d’un point de vue business. Par contre, si ça permet d’avoir un petit logo vert dans la barre d’adresse, il y a moyen que ça en fasse bouger certains.
    C’est un peu comme le BCP38 chez les opérateurs...

    D’ailleurs, en parlant de BCP38, s’il était systématiquement déployé, il n’y aura plus de soucis d’attaque par amplification avec le DNS (mais avec des si on met Paris en bouteille...).
    Mettre de la sécurité dans le DNS n’est pas plus dangereux que d’utiliser le DNS tout court. Mais on a l’avantage d’avoir un système certes hiérarchique, mais décentralisé. Là où le système des CA est totalement centralisé.

    Pour SPF et DKIM (tout comme DMARC), ce sont des fioritures développées par les grands silos du mail pour faire chier les petits. Dans les faits, ça ne change presque rien, mais si tu ne l’as pas t’es un spammeur. Là, l’enjeu est tout autre, il s’agît d’arrêter de dépendre d’autres silos. Et avec DANE, c’est possible.

    Si dyndns avait tous ses NS dans un seul AS, bah j’ai envie de dire « mauvis admin, changer admin ». Le problème est le même si on met tous ses MX dans le même AS (et si son cœur de métier est de servir du mail).

    Je te rejoins pour le coup des FAI qui ne font pas de vérification DNSSEC. Là, je n’ai pas de réponse, rien ne les empêche de le faire. Mais après, c’est toujours pareil, on va te dire « Ça coûte combien ? » suivi de « Ça va nous servir à quoi ? ». Si les navigateur poussent cette technologie, il y a des chances pour que ça change.

    Et justement, tu parles de let’s encrypt. Ils ont réussi à pousser x509 à l’époque de netscape, ils poussent maintenant let’s encrypt. Pourquoi pas DANE ?

    Après, pour les questions de quoi faire quand la vérification classique de x509 et DANE se contre-disent, je ne sais pas. Je pense que ce sont des questions qui se réglerons en fonction de l’évolution. Si plus de monde utilise DANE, alors osef des CA. Si ça reste comme ça, on reste comme ça. Après, on peut aussi imaginer que ça soit réglable dans les préférences, comme l’est l’OSCP par exemple.

    Je ne connais pas tous les domaines de mozilla, mais mozilla.org est signé avec DNSSEC.

    J’espère avoir répondu à tes questions, dis moi si ce n’est pas clair.