Auteur Sujet: La sécurité de TLS se base sur une assertion qui est fausse. (Lu 6018 fois)

obinou · « **Réponse #12 le:** 07 novembre 2014 à 09:58:46 »

Citation de: corrector le 06 novembre 2014 à 21:56:38

Donc la seule alternative est l'auto-hébergement?

Alors j'interviens un peu comme un cheveux sur la soupe, mais perso j'ai pris mes domaines chez "bookmyname" (filiale de Online si je ne me trompe pas).

Chez ce fournisseur, il y a 2 "mode" : Soit "simple" où tu entres simplement ton IP, soit "expert" où tu rentres carrèment le contenu du fichier "zone" DNS (format +/- ressemblant à celui de bind).

Ca me semble possible d'entrer les infos tel qu'elles sont décrites sur le post de bortz cité ci-dessus. J'avoue que j'ai pas essayé (faut que je prenne le temps de déployer ça, j'ai même pas encore de HTTPS non-autosigné) mais ça reste intéressant.

Autre question: Comment devient-on registar ? Je veux dire, sous le TLD "fr" par exemple, je voudrait que ce TLD aille *directement* sur l'IP de mon/mes serveurs DNS quand on demande, par exemple, "obinou.fr" plutôt que de passer d'abord par un registar (qui peux se faire hacker - c'est un target de grande valeur - ou pire, bloquer par une "autorité administrative".... :-) )

Merci

Nico · « **Réponse #13 le:** 07 novembre 2014 à 10:05:32 »

Ton registrar doit pouvoir déclarer tes ns (nameservers) comme devant répondre à obinou.fr non ?

obinou · « **Réponse #14 le:** 07 novembre 2014 à 10:15:06 »

Citation de: Nico le 07 novembre 2014 à 10:05:32

Ton registrar doit pouvoir déclarer tes ns (nameservers) comme devant répondre à obinou.fr non ?

Oui, mais donc tu reste lié au registar - ton navigateur doit demander au registar *qui* est le NS pour obinou.fr , de manière à pouvoir interroger ce nouveau NS pour, par ex, "www.obinou.fr' .
=> Donc si "ton" registar change les IP de destination de "obinou.fr" , tu peux rien faire.

corrector · « **Réponse #15 le:** 07 novembre 2014 à 10:34:52 »

Pourquoi tu parles de registar?

Un bureau d'enregistrement, c'est juste un intermédiaire administratif. Il n'a aucun rôle technique à ma connaissance...

Nico · « **Réponse #16 le:** 07 novembre 2014 à 10:50:22 »

Citation de: obinou le 07 novembre 2014 à 10:15:06

Oui, mais donc tu reste lié au registar - ton navigateur doit demander au registar *qui* est le NS pour obinou.fr , de manière à pouvoir interroger ce nouveau NS pour, par ex, "www.obinou.fr' .
=> Donc si "ton" registar change les IP de destination de "obinou.fr" , tu peux rien faire.

Euh, dans ma compréhension, une fois que le registrar a indiqué ça, ton navigateur doit taper ça directement sans passer par ce dernier.

obinou · « **Réponse #17 le:** 07 novembre 2014 à 11:04:36 »

Citation de: Nico le 07 novembre 2014 à 10:50:22

Euh, dans ma compréhension, une fois que le registrar a indiqué ça, ton navigateur doit taper ça directement sans passer par ce dernier.

Citation de: corrector le 07 novembre 2014 à 10:34:52

Pourquoi tu parles de registar?
Un bureau d'enregistrement, c'est juste un intermédiaire administratif. Il n'a aucun rôle technique à ma connaissance...

Du coup si tu paie plus, que fait le registar ? Il re-publie un enregistrement avec ses propres IP "parking" à la place des tiennes auprès de l'AFNIC ?

(En fait, je m'intéresse au mécanisme par lequel on peut se faire dé-saisir d'un NDD, et par quelle entité administrative/juridique)

vivien · « **Réponse #18 le:** 07 novembre 2014 à 11:41:35 »

Plusieurs solutions pour mettre en place DANE :

- Il est possible d'héberger soi-même le service DNS (je ne l'ai pas fait, car pour moi c'est un service où je ne vois pas de valeur ajoutée et il faut gérer la redondance sur un second serveur)

- Le mode "expert" est bien entendu disponible aussi chez OVH, mais c'est quand même bien pratique de passer par le mode classique, vu que j'ai souvent des choses à modifier.