Tag - dnssec

Entries feed - Comments feed

Last entries

Thu 28 Aug 2014

DNSSEC Validator supporte DANE !

Après une mise à jour récente de Firefox, j'ai découvert avec plaisir que le plug-in DNSEC Validator (qui s'appelle maintenant DNSSEC/TLSA Validator) supporte le protocole DANE. Avec ce plug-in, vous pouvez voir que mon domaine www.bentobako.org est correctement vérifié par DNSSEC (et pas par DANE). Ce plug-in est disponible pour les principaux navigateurs du marchés (Internet Explorer, Mozilla Firefox, Google Chrome, Opera et Apple Safari)

DANE (DNS-based Authentication of Named Entities), reposant sur DNSSEC, permet de valider un certificat SSL/TLS d'un serveur web (pour HTTPS), email ou autre sans besoin d'utiliser des « autorités » de certification qui font payer très cher et à la confiance douteuse. En d'autres termes, on n'utilise pas de PKI (Public Key Infrastructure, Infrastructure de clés publiques) mais directement des signatures des certificats dans les champs du DNS, champs eux-mêmes vérifiés pas DNSSEC (on peut aussi combiner PKI et DANE si on veut).

Chacun est maître de son infrastructure et permet à ses « clients » de vérifier qu'ils accèdent bien au bon serveur web, en toute sécurité. C'est à mon avis une petite révolution dans les moyens permettant de chiffrer et authentifier les communications sur Internet : la sécurité gérée de manière décentralisée et à coût zéro. Bien évidemment, le protocole n'est pas encore largement déployé, d'où mon intérêt pour le plug-in DNSSEC/TLSA Validator.

Pour plus de détails sur DANE, lire les excellents comptes-rendus des RFC 6394 et RFC 6698 de Stéphane Brotzmeyer.

Il ne me reste « plus » qu'à configurer tout ça sur mon serveur web. Quelqu'un connaît-il une documentation simple pour faire sa propre autorité de certification avec en plus la configuration de DANE ?

Tue 21 Aug 2012

  • David Mentré
  • Web

bentobako.org utilise DNSSEC

J'ai activé DNSSEC sur mon domaine, bentobako.org (qui entre autres héberge ce blog). J'ai utilisé pour ce faire la documentation d'OVH (pas vraiment difficile : un clic à faire dans le managerv3 puis attendre 24h).

Évidemment, ça ne sert pas à grand chose : le DNS de mon fournisseur d'accès (Numericable) ne valide pas DNSSEC et installer un résolveur comme bind9 ou unbound en local ne marche pas sur ma Ubuntu (conflit pour utiliser un port réseau, je n'ai pas vraiment cherché à comprendre ce qui ne marche pas).

Pour vérifier les adresses DNSSEC, j'utilise le plugin DNS Validator dans Firefox. Amusant de voir que ni www.google.fr ni www.ovh.com n'utilisent DNSSEC. On n'est pas prêt de sécuriser tout ça ! :-)