C'est intéressant ce genre de retour d'expérience. Bortzmeyer a passé son blog sur Let's Encrypt, avec deux difficultés techniques :
- il y a trois machines pour le servir, donc il faut obtenir le même certificat partout, sans accès au root des deux machines esclaves ;
- il faut que DANE fonctionne (DANE-EE) donc la clé privée ne doit pas changer dans le temps.
Il y a aussi la possibilité de mettre à jour le DNS pour la clé DANE mais cela obligerait à scripter d'avantage. La solution ici est assez élégante, faute de mieux.
Explications claires du nouveau champ DNS CAA, sa mise en place et son utilité.
En même temps, ça vient de Bortzmeyer.
Excellent how-to (ici le résumé) pour l'enregistrement SSHFP au niveau du DNS.
Tout y est, notamment la partie "résolution DNSSEC" et pourquoi on ne peut pas pointer les enregistrements via un champ CNAME.
Intéressant : suite aux nombreux problèmes des DNS chez les FAI français (je soupçonne des mesures de censure en cours de déploiement) beaucoup on recommandé de passer sur des résolveurs publics. Comme OpenDNS (arf), GoogleDNS (arf) ou ceux de FDN…
Mais tout cela a de nombreux inconvénients listés ici par Bortzmeyer (a.k.a. môssieur DNS).
Il recommande donc d'utiliser son propre résolveurs puis de rebondir en récursif sur des DNS non-menteurs mais avec une connexion chiffrée (DNS over TLS).
Il y a par exemple ceux de Lorraine Data Network.
Une petite BD sympathique pour comprendre le protocole DNS de résolution de noms. Ça aborde les serveurs d’autorité, les résolveurs, et même un court épisode bonus sur le glue-registry.
via : https://twitter.com/argumatronic/status/799006966488113153
Raaa. Effectivement, j'ai eu ce problème avec les résolveurs de Free. Résultat : j'ai du mettre un nom sur un champ A plutôt que sur un CNAME. Mais aujourd'hui, je veux (et dois) réutiliser le wildcard, et du coup exclure pas mal de clients Free (et de façon intermittente)
Ce serait bien qu'ils corrigent :)
Je découvre qu'avec DNSSEC, le champ TLSA permet de vérifier le certificat émis par le serveur, à la place de, ou en complément du / des CA.
C'est aussi utile par exemple, pour vérifier le CA signataire (à la place du certificat du serveur) afin de limiter le risque qu'une CA piratée ou malveillante forge un fake-certificat.
EDIT : on peut aussi utiliser ce champ pour accorder sa confiance à une autorité qui ne serait pas "de confiance" dans le root du logiciel client. Encore faut-il que ce dernier requête en DNSSEC et implémente ces méthodes (assez récentes)
Une grande avancée je trouve, et un bon compromis CA / non-CA.
Pratique !
Merde, les zones DNS d'OVH ne supportent pas le champ DNAME…
Du coup, impossible de centraliser l'écriture d'un champ TXT pour DKIM (alors que c'est possible avec un CNAME pour le DMARC et avec un include pour le SPF)
J'suis totalement clean.
Super ce test. C'est toujours fou de voir tout ce qu'on peut récolter rien qu'en se connectant sur un site. Je pense d'ailleurs que ces informations ne garantissent pas l'unicité, notamment en ne conservant que les informations de long terme (plugins, etc.) mais appariées avec les informations identifiantes moyen ou court terme (IP, etc.) le taux d'identification doit être meilleur qu'avec un système de cookies.
Bref, la réponse au fichage ne réside pas dans une utilisation à la cool d'Internet. Faut proxifier, configurer, TORer, disabler, etc. De gros mots pour supprimer le tracking. Pas à la portée du lambda.
Bon bah voilà. On y est. 5 sites bloqués, et visiblement déjà un truc qui tourne pas rond. On pouvait pas passer par un juge ? Demander le retrait à l'hébergeur ?
Quelle honte…
EDIT : Oh mince, le temps que je publie, ça a été corrigé.
Une faille XSS réalisée via les enregistrements TXT du DNS. Ça affichait le vidéo « Rick Roll' »
Drôle !
via : https://twitter.com/AnonymouSpeak/status/512702368706617344
Trop super !
Je cherchais à implémenter l'autoconfiguration POP/IMAP pour mon courrier depuis les DNS (et depuis au moins un an). J'avais fini par laisser tomber, et je me posais plein de questions existentielles comme « comment font ces putains d'serveurs pour trouver le service SMTP s'il n'est pas sur un port standard ? » et autres joyeusetés.
Bortzmeyer est une sorte de Dieu pour moi : il m'apporte les réponses que je ne trouve nul part dans ma conscience. MERCI MON POTO.
Très pratique cet outil pour tester sa connexion internet (notamment les tentatives de détournement, etc.)
« Hier pendant 22 min, les DNS de Google ont été détournés »
Chaud.