La Fibre

Télécom => Réseau => Protocoles réseaux sécurisés (https) => Discussion démarrée par: corrector le 03 juin 2011 à 19:09:06

Titre: Le DNS de lafibre.info est signé
Posté par: corrector le 03 juin 2011 à 19:09:06: Je vois que le domaine lafibre.info n'est pas signé par DNSSEC.

Est-ce au programme?
Titre: le DNSSEC arrive chez OVH
Posté par: vivien le 03 juin 2011 à 19:17:58: Les DNS sont gérés par OVH, je n'ai pas trouvé qu'il y avait une grande plus-value à les gérer soit-même.

C'est à OVH de faire l'évolution pour les millions de noms de domaine qu'ils gèrent.
Titre: le DNSSEC arrive chez OVH
Posté par: Gilum le 03 juin 2011 à 21:34:45: le dnssec arrive chez OVH ! ;)
Titre: le DNSSEC arrive chez OVH
Posté par: le 08 mars 2014 à 21:00:05: Citation de: vivien le 03 juin 2011 à 19:17:58
Les DNS sont gérés par OVH, je n'ai pas trouvé qu'il y avait une grande plus-value à les gérer soit-même.
L'intérêt en l'occurrence serait de signer la clé publique TLS.
Titre: le DNSSEC arrive chez OVH
Posté par: vivien le 08 mars 2014 à 21:46:40: Le DNSSEC n'est aujourd'hui pas utilisé chez les FAI.

La proportion de clients qui l'utiliseraient serait très faible.
Titre: le DNSSEC arrive chez OVH
Posté par: le 08 mars 2014 à 21:49:24: Voilà, comme IPv6.

Il y a peu de clients qui l'utilisent parce qu'il y a peu de domaines qui l'utilisent!
Titre: le DNSSEC arrive chez OVH
Posté par: vivien le 17 juillet 2014 à 21:30:56: Citation de: corrector le 17 juillet 2014 à 15:17:28
(vivien, à quand tu passes lafibre en DNSSEC? info. est signé)

OVH ne supporte pas DNSSEC sur les domaines .info.

La liste des extensions compatibles DNSSEC chez OVH est pourtant longue : .fr, .com, .be, .net, .eu, .pl, .re, .pm, .yt, .wf, .tf, .info, .li, .ch, .biz, .de, .sx, .org, .se, .nl, .in, .us, .at, .nu, .la, .ac, .cz, .me, .sh, .io, .uk, .co.uk, .me.uk, .org.uk, ou n'importe quelle nouvelle extension récemment sortie comme .paris, .club, .xyz, .wiki, .ink, et toutes les extensions de Donuts. (d'autres extensions à venir)
Titre: le DNSSEC arrive chez OVH
Posté par: tit91 le 17 juillet 2014 à 21:54:27: Citation de: vivien le 17 juillet 2014 à 21:30:56
La liste des extensions compatibles DNSSEC chez OVH est pourtant longue : .fr, .com, .be, .net, .eu, .pl, .re, .pm, .yt, .wf, .tf, .info, .li, .ch, .biz, .de, .sx, .org, .se, .nl, .in, .us, .at, .nu, .la, .ac, .cz, .me, .sh, .io, .uk, .co.uk, .me.uk, .org.uk, ou n'importe quelle nouvelle extension récemment sortie comme .paris, .club, .xyz, .wiki, .ink, et toutes les extensions de Donuts. (d'autres extensions à venir)

C'est un copier/coller ? :D
Titre: le DNSSEC arrive chez OVH
Posté par: vivien le 17 juillet 2014 à 22:00:23: Oops, j'ai été trop vite pour lire.

Bon, je regarde pour mettre le DNSSEC.

Edit : DSNSEC activé pour lafibre.info et testdebit.info
Titre: le DNSSEC arrive chez OVH
Posté par: Polynesia le 17 juillet 2014 à 22:35:41: il y a une extension firefox valable pour voir le DNSSEC est bon ? merci
Titre: le DNSSEC arrive chez OVH
Posté par: le 17 juillet 2014 à 22:44:16: Citation de: Polynesia le 17 juillet 2014 à 22:35:41
il y a une extension firefox valable pour voir le DNSSEC est bon ? merci
Download DNSSEC/TLSA Validator (https://www.dnssec-validator.cz/pages/download.html)
Titre: le DNSSEC arrive chez OVH
Posté par: Polynesia le 17 juillet 2014 à 22:49:57: ok merci je vais tester
Titre: le DNSSEC arrive chez OVH
Posté par: le 17 juillet 2014 à 22:51:32: Citation de: vivien le 17 juillet 2014 à 22:00:23
Oops, j'ai été trop vite pour lire.

Bon, je regarde pour mettre le DNSSEC.

Edit : DSNSEC activé pour lafibre.info et testdebit.info
Bah non :
Citer
   No DS records found for lafibre.info in the info zone
   Found 2 DNSKEY records for lafibre.info
   Found 2 RRSIGs over DNSKEY RRset
   RRSIG=1040 and DNSKEY=1040 verifies the DNSKEY RRset
   lafibre.info A RR has value 46.227.16.8
   Found 1 RRSIGs over A RRset
   RRSIG=1040 and DNSKEY=1040 verifies the A RRset
http://dnssec-debugger.verisignlabs.com/lafibre.info (http://dnssec-debugger.verisignlabs.com/lafibre.info)

Citer
   No DS records found for testdebit.info in the info zone
   Found 2 DNSKEY records for testdebit.info
   Found 2 RRSIGs over DNSKEY RRset
   RRSIG=34397 and DNSKEY=34397 verifies the DNSKEY RRset
   testdebit.info A RR has value 46.227.16.8
   Found 1 RRSIGs over A RRset
   RRSIG=34397 and DNSKEY=34397 verifies the A RRset
http://dnssec-debugger.verisignlabs.com/testdebit.info (http://dnssec-debugger.verisignlabs.com/testdebit.info)
Titre: le DNSSEC arrive chez OVH
Posté par: vivien le 17 juillet 2014 à 22:52:37: Je suppose que la propagation prend une bonne journée, comme toutes les modifications DNS.
Titre: le DNSSEC arrive chez OVH
Posté par: le 17 juillet 2014 à 22:54:10: Qu'est-ce que tu appelles la "propagation"?
Titre: le DNSSEC arrive chez OVH
Posté par: Polynesia le 17 juillet 2014 à 22:59:46: Citation de: vivien le 17 juillet 2014 à 22:52:37
Je suppose que la propagation prend une bonne journée, comme toutes les modifications DNS.

Pour opendns aussi ?
Titre: le DNSSEC arrive chez OVH
Posté par: le 17 juillet 2014 à 23:02:47: Peu importe, tu peux interroger ns20.ovh.net directement.
Titre: le DNSSEC arrive chez OVH
Posté par: mirtouf le 18 juillet 2014 à 09:30:26: Je confirme que les signatures SIG sont bien présentes pour les 2 domaines.
Titre: le DNSSEC arrive chez OVH
Posté par: le 18 juillet 2014 à 10:10:02: Bref ça marche pas.
Titre: le DNSSEC arrive chez OVH
Posté par: Bensay le 18 juillet 2014 à 10:33:26: Citation de: vivien le 17 juillet 2014 à 22:00:23
Oops, j'ai été trop vite pour lire.

Bon, je regarde pour mettre le DNSSEC.

Edit : DSNSEC activé pour lafibre.info et testdebit.info

Bonjour Vivien;
Pour ma part DNSSEC ne semble pas activé sur Lafibre.info sous le Plugin Chrome Cf :
(http://img4.hostingpics.net/pics/627333DNSSEC.png)
Cdt

Bensay
Titre: le DNSSEC arrive chez OVH
Posté par: le 18 juillet 2014 à 10:42:48: http://dnssec-debugger.verisignlabs.com/lafibre.info (http://dnssec-debugger.verisignlabs.com/lafibre.info)

Citer
   Checking DS between info and lafibre.info
    Query to a0.info.afilias-nst.info for lafibre.info/DS
    Received 760 bytes from 199.254.31.1
   No DS records found for lafibre.info in the info zone
Titre: le DNSSEC arrive chez OVH
Posté par: Bensay le 18 juillet 2014 à 10:57:15: Citation de: corrector le 18 juillet 2014 à 10:42:48
http://dnssec-debugger.verisignlabs.com/lafibre.info (http://dnssec-debugger.verisignlabs.com/lafibre.info)

Effectivement ;)
Code: [Sélectionner]
Begin testing DNSSEC for lafibre.info. Did not find DS record for lafibre.info at parent. Nameserver 213.251.188.129 does DNSSEC extra processing. Nameserver 213.251.128.129 does DNSSEC extra processing. Nameserver 2001:41d0:1:1981:0:0:0:1 does DNSSEC extra processing. Nameserver 2001:41d0:1:4a81:0:0:0:1 does DNSSEC extra processing. Servers for lafibre.info have consistent extra processing status. Authenticated denial records found for lafibre.info, of type NSEC3. NSEC3PARAM record found for lafibre.info. NSEC3 for lafibre.info is set to use 8 iterations, which is less than 100 and thus OK. Found DNSKEY record for lafibre.info at child.Broken chain of trust for lafibre.info - DNSKEY found at child, but no DS was found at parent.
Code: [Sélectionner]
Checking DNSSEC at child (lafibre.info). lafibre.info's key with tag 43725 uses algorithm number 7 (RSA-NSEC3-SHA1). Algorithm number 7 is OK. DNSKEY lafibre.info (tag 43725) is marked as a secure entry point (SEP). lafibre.info's key with tag 1040 uses algorithm number 7 (RSA-NSEC3-SHA1). Algorithm number 7 is OK. DNSSEC signature expires at: Sat Aug 16 19:04:10 2014
Il me semble qu'il y à plus d'infos ici : https://www.dnssec-tools.org/wiki/index.php/Sign_Your_Zone (https://www.dnssec-tools.org/wiki/index.php/Sign_Your_Zone)

Cdt

Bensay
Titre: le DNSSEC arrive chez OVH
Posté par: vivien le 18 juillet 2014 à 11:04:31: Il faut patienter 24h. Ce sera fait ce soir à 23h

Voici le suivit des opérations en cours :

(https://lafibre.info/images/ovh/201407_dnssec_ovh.png)
Titre: le DNSSEC arrive chez OVH
Posté par: Bensay le 18 juillet 2014 à 11:06:40: Tu peut forcer Vivien,
La propagation finira par ce faire automatiquement ;)

Cdt

Bensay
Titre: le DNSSEC arrive chez OVH
Posté par: le 18 juillet 2014 à 12:30:21: Citation de: Bensay le 18 juillet 2014 à 11:06:40
Tu peut forcer Vivien,
Surtout pas, ça pourrait rendre le site inaccessibles pour les millions d'utilisateurs qui vérifient DNSSEC.
Titre: le DNSSEC arrive chez OVH
Posté par: Bensay le 18 juillet 2014 à 12:32:27: Citation de: corrector le 18 juillet 2014 à 12:30:21
Surtout pas, ça pourrait rendre le site inaccessibles pour les millions d'utilisateurs qui vérifient DNSSEC.

les millions d'utilisateurs ;D je sens un brin d'humour corrector je me trompe ;) ?

Cdt

Bensay
Titre: le DNSSEC arrive chez OVH
Posté par: le 18 juillet 2014 à 12:50:04: Y a d'ça.
Titre: le DNSSEC arrive chez OVH
Posté par: Polynesia le 18 juillet 2014 à 14:53:36: Il n'y a pas une autre extension car celle-ci fait freezer Firefox chez moi par moment
Titre: le DNSSEC arrive chez OVH
Posté par: le 18 juillet 2014 à 23:04:52: Citation de: vivien le 18 juillet 2014 à 11:04:31
Il faut patienter 24h. Ce sera fait ce soir à 23h
OK, ça marche!

Félicitations!
Titre: le DNSSEC arrive chez OVH
Posté par: vivien le 18 juillet 2014 à 23:10:01: Parfait https, DNSSEC, il ne manque plus que IPv6 pour lafibre.info...
Titre: Le DNS de lafibre.info est signé
Posté par: le 18 juillet 2014 à 23:11:16: Non, il manque encore le certificat TLS dans le DNS!
Titre: Le DNS de lafibre.info est signé
Posté par: Paul le 18 juillet 2014 à 23:13:52: Q'est-ce que DNSSEC apporte ?
Titre: Le DNS de lafibre.info est signé
Posté par: le 18 juillet 2014 à 23:20:45: DNSSEC permet de valider tous les enregistrements DNS : le navigateur peut vérifier que les DNS du domaine lafibre.info sont vraiment authentiques.

Par exemple, quand tu demandes l'adresse IP de x.lafibre.info, tu constates :
- que le domaine x.lafibre.info n'existe pas
- que la non-existence est authentifiée par un mécanisme cryptographique