Seenthis
•
 
Identifiants personnels
  • [mot de passe oublié ?]

 
  • #d
  • #dns
RSS: #dnssec

#dnssec

  • #dnssec'
  • #dnssec-trigger
0 | 25 | 50 | 75
  • @afnic
    AFNIC @afnic 11/01/2022

    L’Afnic et la Fondation suédoise pour l’Internet lancent une nouvelle version de Zonemaster ▻https://www.afnic.fr/observatoire-ressources/actualites/une-nouvelle-version-de-zonemaster-disponible

    Afnic and the Swedish Internet Foundation Internetstiftelsen are pleased to announce a new release of Zonemaster ▻https://www.afnic.fr/en/observatory-and-resources/news/zonemaster-release-information

    #DNS #DNSSEC #Afnic #Internet #domains #ZoneMaster

    AFNIC @afnic
    Écrire un commentaire
  • @afnic
    AFNIC @afnic 17/08/2021

    DNSSEC : Changement d’algorithme pour la zone .fr. Explications par Vincent Levigneron : ▻https://www.afnic.fr/observatoire-ressources/papier-expert/dnssec-changement-dalgorithme-pour-la-zone-fr

    DNSSEC: change of algorithm for the .fr zone. More details with Vincent Levigneron: ▻https://www.afnic.fr/en/observatory-and-resources/expert-papers/dnssec-change-of-algorithm-for-the-fr-zone

    #Afnic #DotFR #DNSSEC #DNS #Internet #PointFR

    AFNIC @afnic
    Écrire un commentaire
  • @afnic
    AFNIC @afnic 7/04/2021

    L’Afnic devient organisme de formation certifié Qualiopi® ! Découvrez nos 3 premières formations sur ▻https://www.afnic.fr/observatoire-ressources/actualites/lafnic-devient-organisme-de-formation-certifie-qualiopi #IPv6 #DNSSEC #Sécurité #Formation #DNS

    Afnic obtains Qualiopi® certification as a training organisation! Discover our 3 first training courses on ▻https://www.afnic.fr/en/observatory-and-resources/news/afnic-obtains-qualiopi-certification-as-a-training-organisation #Training #IPv6 #DNSSEC #DNS

    AFNIC @afnic
    Écrire un commentaire
  • @stephane
    Stéphane Bortzmeyer @stephane CC BY-SA 18/11/2020
    1
    @ericw
    1

    Découverte d’une nouvelle façon de réaliser un empoisonnement de cache #DNS (envoi de fausses réponses à un résolveur, qu’il acceptera et mémorisera), #SadDNS ▻https://www.saddns.net

    Disons-le tout de suite, il n’y a pas de vraie protection, à part déployer #DNSSEC (ce que tout le monde sait depuis douze ans ; notez que cela n’est pas fait sur SeenThis).

    Cette vulnérabilité a l’identificateur CVE-2020-25705. L’attaque exploite la limitation de trafic ICMP sortant du résolveur DNS. Le papier original est « DNS Cache Poisoning Attack Reloaded : Revolutions with Side Channels » ▻https://dl.acm.org/doi/pdf/10.1145/3372297.3417280 Mais l’article de NLnetLabs est plus lisible ▻https://blog.nlnetlabs.nl/sad-dns-side-channel-attack-and-unbound
    (une autre explication chez Cloudflare ▻https://blog.cloudflare.com/sad-dns-explained)

    Le patch Linux est mignon (et étonnamment court) : ▻https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=b38e7819cae946e2edf869e604af1e65a5d241c5

    Stéphane Bortzmeyer @stephane CC BY-SA
    • @stephane
      Stéphane Bortzmeyer @stephane CC BY-SA 27/11/2020

      Également chez SIDN (registre du .nl) : ▻https://www.sidn.nl/en/news-and-blogs/sad-dns-new-dns-cache-poisoning-technique-emerges et de l’ISC (ceux qui font BIND) : ▻https://www.isc.org/blogs/2020-saddns

      Stéphane Bortzmeyer @stephane CC BY-SA
    Écrire un commentaire
  • @afnic
    AFNIC @afnic 27/02/2020

    La newsletter Afnic de février est en ligne ▻http://afnic-media.fr/newsletter/20200227.html Abonnez-vous ici ►https://www.afnic.fr/fr/ressources/newsletter-afnic-36.html

    The Afnic newsletter for February is out ▻http://afnic-media.fr/newsletter/20200227-english.html You can subscribe today on ▻https://www.afnic.fr/en/resources/afnic-newsletter-90.html

    #security #dnssec #DNS #DotFR #ccTLDs #afnic #sécurité

    AFNIC @afnic
    Écrire un commentaire
  • @cy_altern
    cy_altern @cy_altern CC BY-SA 25/02/2019
    @stephane

    Internet est en proie à une vague d’attaques inédites du système de noms de domaine, a annoncé l’ICANN
    ▻https://www.developpez.com/actu/248286/Internet-est-en-proie-a-une-vague-d-attaques-inedites-du-systeme-de-noms

    une pierre de plus dans le jardin de DNSSEC... (@stephane )

    #dns #dnssec #icann

    cy_altern @cy_altern CC BY-SA
    • @stephane
      Stéphane Bortzmeyer @stephane CC BY-SA 25/02/2019

      99 % des articles sur cette affaire sont ridicules. (À commencer par la dépêche AFP.)

      Ici, le mieux est « Sur Reddit, certains désignent les Russes, les Coréens ou en encore les Chinois comme responsables » Reddit !!!! ??? Ça, c’est de l’investigation. Prochaine étape : « au Café du Commerce, certains désignent les immigrés comme responsables »

      Stéphane Bortzmeyer @stephane CC BY-SA
    • @biggrizzly
      BigGrizzly @biggrizzly CC BY-NC-SA 25/02/2019

      Si encore il y avait le début d’une information concrète, ça serait chouette. Mais pour l’instant, rien vu dans ce que j’ai lu.

      BigGrizzly @biggrizzly CC BY-NC-SA
    • @stephane
      Stéphane Bortzmeyer @stephane CC BY-SA 25/02/2019

      Des articles sérieux (je ne dis pas « plus sérieux », je dis « sérieux ») : ▻https://www.nextinpact.com/brief/non--internet-n-est-pas-mort-ce-week-end--mais-deployez-dnnsec--7869.htm ►https://www.lemonde.fr/pixels/article/2019/02/25/non-une-attaque-massive-et-inedite-n-est-pas-en-cours-sur-l-internet-mondial

      Stéphane Bortzmeyer @stephane CC BY-SA
    • @vanderling
      Vanderling @vanderling 25/02/2019

      Selon les experts, les pirates appartiennent le plus souvent à deux catégories principales : des individus ou des groupes de « hackers » qui veulent gagner de l’argent (rançongiciels, revente de données personnelles sur la partie cachée d’internet surnommée darknet...) ou bien des Etats, qui souhaitent espionner d’autres pays et/ou y semer des dissensions politiques. La Chine, la Russie, l’Iran ou la Corée du Nord seraient particulièrement actifs en matière de piratage, ce que démentent les intéressés.

      ►https://seenthis.net/messages/762877

      Selon les experts ce serait une attaque de l’axe du mal dont le grand satan iranien. houla houla houlala, j’ai peur !

      ►https://www.youtube.com/watch?v=UzFbqLbWunA

      Vanderling @vanderling
    • @biggrizzly
      BigGrizzly @biggrizzly CC BY-NC-SA 25/02/2019

      Les opportunistes sont déjà sur le coup...

      Bonjour,

      Vu l’ampleur de l’attaque en cours, nous pensons qu’il est très impotrtant de vous en informer.

      Une vague d’attaques informatiques sans précédent ciblant l’organisme international ICANN,est en cours.

      L’ICANN est l’organisme qui gère tous les noms de domaines dans le monde, donc TOUS les sites internet sont potentiellement la cible des hackeurs.

      Le mode opérétoire permet à un attaquant de se substituer à un site légitime et voler ainsi les identifiants, mots de passe, adresse mail et autres informations personnelles de personnes s’y connectant.

      Voici un rappel des préconisations élémentaires à respecter lorsque vous accédez à tout site Internet :

      • Vérifiez la présence d’un cadenas dans la barre en haut à gauche de la page du navigateur
      • Ne poursuivez pas la navigation si un message vous indique que le certificat du site visité n’est pas valide. Cette information peut vous être affichée de différentes manières, comme par exemple :
      o « Non sécurisé » dans la barre en haut à gauche du navigateur ;
      o « Votre connexion n’est pas privée » ;
      o « Echec de la connexion sécurisée ».
      Nous restons à votre disposition du lundi au vendredi de 9h00 à 17h00 au 09 54 43 67 20.

      Nous vous remercions de votre confiance et à très bientôt sur www.prout.com

      Cordialement,
      Les équipes du groupe PROUT SERVICES

      A propos de PROUT Services

      Au travers de ses deux centres de compétences dédiées aux CMS JOOMLA et au CMS WORDPRESS, nos équipes vous proposent l’ensemble des services vous permettant une communication numérique efficiente.

      Ce message étant envoyé par un automate, merci de ne pas y répondre directement puisque votre message ne pourrait être pris en compte.

      BigGrizzly @biggrizzly CC BY-NC-SA
    • @stephane
      Stéphane Bortzmeyer @stephane CC BY-SA 25/02/2019

      Et mes explications : ►https://www.bortzmeyer.org/attaques-noms-domaine-explications.html

      Stéphane Bortzmeyer @stephane CC BY-SA
    Écrire un commentaire
  • @afnic
    AFNIC @afnic 9/10/2018

    https://www.afnic.fr/medias/images/blog/BLOG-CLE-KSK.jpg

    Remplacement de la clé KSK de la zone racine : Êtes-vous prêts ? Voici quelques tips pour bien vérifier que votre résolveur connait KSK-2017 ▻https://www.afnic.fr/fr/ressources/blog/remplacement-de-la-cle-ksk-de-la-zone-racine-etes-vous-prets.html

    Replacement of the KSK of the root zone : Are you ready ? Here are a few tips to help you check your resolver is familiar with KSK-2017 ▻https://www.afnic.fr/en/resources/blog/replacement-of-the-ksk-of-the-root-zone-are-you-ready.html

    #Afnic #DNSSEC #ICANN

    AFNIC @afnic
    Écrire un commentaire
  • @stephane
    Stéphane Bortzmeyer @stephane CC BY-SA 6/10/2017
    2
    @enuncombatdouteux
    @koantig
    2

    « Selon la légende, 14 personnes contrôlent Internet, à l’aide de 7 clés secrètes. Dans ce second épisode Goat In The Shell, nous nous pencherons sur ces fameux maîtres d’Internet… »

    ▻https://www.youtube.com/watch?v=uxCeG-XpLdU

    [Bonnes explications dans la seconde partie.]

    #humour #darknet #hackers #DNSSEC #DNS #pipeautage_médiatique

    Stéphane Bortzmeyer @stephane CC BY-SA
    • @enuncombatdouteux
      enuncombatdouteux @enuncombatdouteux CC BY-NC-ND 6/10/2017

      Le renseignement militaire et les « petits pédés » de 4chan

      ►http://www.slate.fr/story/140342/le-renseignement-militaire-4chan

      Qualifié de « poubelle du web », le forum 4chan est également connu pour être le plus prolixe générateur de mèmes mais aussi pour ses « fake news ». L’une d’entre elles, délirante et conspirationniste, a pourtant été reprise, au premier degré, par le service de renseignement militaire français en charge du contre-espionnage et l’un des experts « cyber » de la gendarmerie nationale.

      La revue de la gendarmerie nationale omettait de même de préciser que ledit blogueur définissait aussi l’informatique quantique comme « quelque chose dont le nom est « falcighol dérivation polymère » (resic), ou encore qu’il existe, et au-delà dudit « Marianas Web », trois autres « couches (6, 7, 8) : les niveaux 6 et 7 ne sont que des conneries. Le huitième, et le dernier niveau, est celui qui intéresse la plupart des gens », et pour cause :

      « Le niveau 8 du web est censé contrôler l’ensemble d’Internet. C’est apparemment une anomalie découverte dans les années 2000. Il est complètement insensible, mais envoi des signaux directement dans les ordinateurs du monde entier, ce qui lui permet de contrôler Internet, mais cela dépend du hasard. Personne ne semble avoir le contrôle. D’après ce qu’on dit, une organisation / gouvernement secret détient le contrôle sur ce niveau, mais on ne sait pas. Apparemment, vous devez résoudre un simple puzzle… verrouillage des fonctions de niveau 17 niveau quantique TR001. Il s’agit essentiellement de l’informatique quantique le plus avancé, totalement impossible à résoudre avec nos ordinateurs. Vous avez besoin d’une technologie profonde que personne ne possède. »

      ▻https://seenthis.net/messages/579922

      enuncombatdouteux @enuncombatdouteux CC BY-NC-ND
    Écrire un commentaire
  • @stephane
    Stéphane Bortzmeyer @stephane CC BY-SA 26/07/2017

    RFC 8198 : Aggressive Use of DNSSEC-Validated Cache

    Lorqu’un client #DNS interroge un résolveur, celui-ci peut répondre très vite si l’information demandée est dans sa mémoire (son « cache ») mais cela peut être beaucoup plus lent s’il faut aller demander aux serveurs faisant autorité. Il est donc essentiel, pour les performances du DNS, d’utiliser le cache le plus possible. Traditionnellement, le résolveur n’utilisait le cache que si la question posée par le client avait une réponse exacte dans le cache. Mais l’arrivée de #DNSSEC autorise un usage plus énergique et plus efficace du cache : ce nouveau #RFC permet aux résolveurs de synthétiser des réponses à partir des informations DNSSEC.

    ▻http://www.bortzmeyer.org/8198.html

    Stéphane Bortzmeyer @stephane CC BY-SA
    Écrire un commentaire
  • @stephane
    Stéphane Bortzmeyer @stephane CC BY-SA 15/02/2017

    RFC 8063 : Key Relay Mapping for the Extensible Provisioning Protocol

    Un des problèmes pratiques que pose #DNSSEC est le changement d’hébergeur #DNS. Si on sous-traite sa gestion des clés cryptographiques, et ses signatures à un tiers, que faire lors du changement de prestataire, pour ne pas casser la chaîne de confiance DNSSEC ? On ne peut évidemment pas demander à l’ancien hébergeur de transmettre la clé privée au nouveau ! Même pour les données non confidentielles, comme la clé publique, la transmission est difficile car les deux hébergeurs n’ont pas de canal de transmission sécurisé commun. Ce nouveau RFC propose d’utiliser comme canal sécurisé le registre de la zone parente et, plus concrètement, de définir une extension au protocole #EPP, qui permet un mécanisme de « messagerie » électronique sécurisée, afin de l’utiliser entre deux clients du même registre.

    ▻http://www.bortzmeyer.org/8063.html

    #registre_de_noms_de_domaine

    Stéphane Bortzmeyer @stephane CC BY-SA
    Écrire un commentaire
  • @stephane
    Stéphane Bortzmeyer @stephane CC BY-SA 15/02/2017

    RFC 8080 : Edwards-Curve Digital Security Algorithm (EdDSA) for DNSSEC

    Ce #RFC spécifie comment utiliser les algorithmes de cryptographie à courbe elliptique #Ed25519 et #Ed448 dans #DNSSEC.

    ▻http://www.bortzmeyer.org/8080.html

    #Curve25519 #cryptographies_sur_courbes_elliptiques

    Stéphane Bortzmeyer @stephane CC BY-SA
    Écrire un commentaire
  • @afnic
    AFNIC @afnic 2/11/2016

    DNS issues? Who Ya Gonna Call? ZoneMaster! A blog article by Sandoche Balakrichenan from Afnic for CENTR

    Read now and share ! ▻https://www.centr.org/news/news/who-ya-gonna-call-for-dns-issues.html

    #DNS #ZoneMaster #Afnic #DNSSEC

    • #DNS
    AFNIC @afnic
    Écrire un commentaire
  • @stephane
    Stéphane Bortzmeyer @stephane CC BY-SA 1/09/2016

    RFC 7958 : DNSSEC Trust Anchor Publication for the Root Zone

    Le mécanisme d’authentification des informations DNS nommé #DNSSEC repose sur la même structure arborescente que le #DNS : une zone publie un lien sécurisé vers les clés de ses sous-zones. Un résolveur DNS validant n’a donc besoin, dans la plupart des cas, que d’une seule clé publique, celle de la racine. Elle lui servira à vérifier les clés des TLD, qui serviront à valider les clés des domaines de deuxième niveau et ainsi de suite. Reste donc à configurer la clé de la racine dans le résolveur : c’est évidemment crucial, puisque toute la sécurité du système en dépend. Si un résolveur est configuré avec une clé fausse pour la racine, toute la validation DNSSEC est menacée. Comment est-ce que l’#ICANN, qui gère la clé principale de la racine, publie cette clé cruciale ? Six ans après la signature de la racine du DNS, c’est enfin documenté, dans ce #RFC.

    ▻http://www.bortzmeyer.org/7958.html

    Stéphane Bortzmeyer @stephane CC BY-SA
    Écrire un commentaire
  • @stephane
    Stéphane Bortzmeyer @stephane CC BY-SA 25/08/2016

    RFC 7929 : DNS-Based Authentication of Named Entities (DANE) Bindings for OpenPGP

    Un problème classique du système de cryptographie #OpenPGP est de vérifier les clés publiques des correspondants. Les trouver, c’est relativement facile : le correspondant pense à vous les envoyer ou bien on se sert tout simplement d’un serveur de clés. Mais ceux-ci ne garantissent rien sur la clé. N’importe qui peut créer une clé marquée flotus@whitehouse.gov et la mettre sur les serveurs de clé, même si cette clé n’a rien à voir avec la Maison-Blanche. Avant la solution de ce nouveau #RFC, il n’existait pas de mécanisme sécurisé pour récupérer une clé publique PGP. Que propose ce RFC ? De mettre les clés dans le #DNS (nouveau type d’enregistrement OPENPGPKEY), dans le domaine de la partie droite de l’adresse de courrier, sécurisée par #DNSSEC. En gros, il s’agit de faire pour le courrier et PGP ce que fait déjà #DANE pour le Web/TLS.

    ▻http://www.bortzmeyer.org/7929.html

    #cryptographie #sécurité_informatique #PGP

    Stéphane Bortzmeyer @stephane CC BY-SA
    • @x_cli
      X_Cli @x_cli 27/08/2016

      Avant la solution de ce nouveau #RFC, il n’existait pas de mécanisme sécurisé pour récupérer une clé publique PGP.

      /me s’étouffe dans son verre d’eau

      PKA ?

      X_Cli @x_cli
    Écrire un commentaire
  • @erratic
    schrödinger @erratic 17/08/2016

    DNSSEC as DDoS amplification attack vector

    Here is a report that explains how DNSSEC can be subverted as an amplifier in DDoS attacks.

    • Average DNSSEC amplification factor : 28.9 x
    • Average response to a 80 byte “ANY” query : 2313 bytes
    • Largest amplification response : 17377 bytes

    ▻https://ns-cdn.neustar.biz/creative_services/biz/neustar/www/resources/whitepapers/it-security/dns/neustar-dnssec-report.pdf

    We ran DNS queries from four separate and independent open recursive servers to look for DNSSEC name servers that responded to queries using the DNS command “ANY,” which is a favorite malicious query used by hackers.

    [...]

    Of the 1,349 domains that we examined, 1,084 were signed with DNSSEC and responded to the “ANY” query.
    Which means: 80% of the domains in this one community could be repurposed as a DDoS amplifier and
    used maliciously.

    [...]

    For organizations that use and rely on DNSSEC, Neustar
    recommends ensuring that your DNS provider does not
    respond to the “ANY” queries or has some mechanism in
    place to identify and stop misuse.

    #DDoS #DNSSEC

    schrödinger @erratic
    • @erratic
      schrödinger @erratic 22/08/2016

      ▻http://www.infoworld.com/article/3109581/security/poorly-configured-dnssec-servers-at-root-of-ddos-attacks.html

      schrödinger @erratic
    Écrire un commentaire
  • @afnic
    AFNIC @afnic 4/07/2016

    https://www.afnic.fr/medias/images/actus/rapport-anssi.jpg

    L’observatoire de la résilience de l’Internet français publie son rapport 2015 ▻https://www.afnic.fr/fr/l-afnic-en-bref/actualites/actualites-generales/9991/show/l-observatoire-de-la-resilience-de-l-internet-francais-publie-son-rapport-2015

    #ANSSI #AFNIC #INTERNET #RESILIENCE #WEB #TLS #BGP #SMTP #DNSSEC #IPv6 #HTTPS #RPKI #DDoS

    AFNIC @afnic
    Écrire un commentaire
  • @afnic
    AFNIC @afnic 19/01/2016

    La newsletter Afnic de janvier est en ligne ! Consultez la ici ▻http://afnic-media.fr/newsletter/20160119.html

    Pour vous inscrire ►https://www.afnic.fr/fr/ressources/newsletter-afnic-36.html

    Afnic newsletter for January is out! Read it here ▻http://www.afnic-media.fr/newsletter/20160119-english.html

    Subscribe directly here ▻https://www.afnic.fr/en/resources/afnic-newsletter-43.html

    #Afnic #Ipv6 #DNSSEC #domains #Internet #Web

    AFNIC @afnic
    Écrire un commentaire
  • @afnic
    AFNIC @afnic 11/01/2016

    https://www.afnic.fr/medias/images/blog/IPv6.jpg

    [Blog Afnic] IPv6 et DNSSEC ont 20 et 19 ans. Même combat et mêmes défis !? par Mohsen Souissi ▻https://www.afnic.fr/fr/ressources/blog/ipv6-et-dnssec-ont-20-et-19-ans-meme-combat-et-memes-defis.html

    [Afnic blog] IPv6 and DNSSEC are respectively 20 and 19 years old. Same fight and challenges? by Mohsen Souissi ▻https://www.afnic.fr/en/resources/blog/ipv6-and-dnssec-are-respectively-20-and-19-years-old-same-fight-and-challenges

    #IPv6 #DNSSEC #Afnic

    • #IPv6
    AFNIC @afnic
    Écrire un commentaire
  • @stephane
    Stéphane Bortzmeyer @stephane CC BY-SA 26/10/2015

    Paul Vixie, about new gTLDs, #whois #privacy, #DNS, #DNSSEC, #X.509 and many other things. Do not forget your asbestos suit, he does not spare the napalm.

    ▻http://www.zdnet.com/article/new-top-level-domains-a-money-grab-and-a-mistake-paul-vixie

    • #Paul Vixie
    Stéphane Bortzmeyer @stephane CC BY-SA
    Écrire un commentaire
  • @erratic
    schrödinger @erratic 26/10/2015

    NTP - Network Time Protocol - can be abused for attacks on HTTPS, DNSSEC, and Bitcoin.

    Researchers at University of Boston describe how unencrypted NTP traffic can be intercepted and then used to change the time of clients. For example, the clock can be turned back to a point where the host would accept a fraudulent digital certificate that has been revoked.

    Or by advancing the time on a DNS resolver the DNSSEC validation can be made to fail.

    The researches also give advice on how to protect yourself against these various attacks.

    Attacking the Network Time Protocol

    ►http://www.cs.bu.edu/~goldbe/NTPattack.html

    Abstract—We explore the risk that network attackers can
    exploit unauthenticated Network Time Protocol (NTP) traffic to
    alter the time on client systems. We first discuss how an onpath
    attacker
    , that hijacks traffic to an NTP server, can quickly
    shift time on the server’s clients. Then, we present a extremely
    low-rate (single packet) denial-of-service attack that an off-path
    attacker
    , located anywhere on the network, can use to disable NTP
    clock synchronization on a client. Next, we show how an off-path
    attacker can exploit IPv4 packet fragmentation to dramatically
    shift time on a client. We discuss the implications on these
    attacks on other core Internet protocols, quantify their attack
    surface using Internet measurements, and suggest a few simple
    countermeasures
    that can improve the security of NTP.

    ▻http://www.cs.bu.edu/~goldbe/papers/NTPattack.pdf
    backup: ▻http://docdro.id/Cf0QqBD

    #back_to_the_future
    #NTP #HTTPS #DNSSEC
    #DoS
    #Timeshift

    schrödinger @erratic
    Écrire un commentaire
  • @stephane
    Stéphane Bortzmeyer @stephane CC BY-SA 22/10/2015
    1
    @la_taupe
    1

    RFC 7583 : DNSSEC Key Rollover Timing Considerations

    Contrairement au #DNS classique, le système de sécurité #DNSSEC est très dynamique : il faut changer les signatures régulièrement et il est souvent recommandé de remplacer (changer) les clés. Compte-tenu du fait que le DNS n’est pas synchrone (les changements n’apparaissent pas instantanément partout dans l’Internet), ce changement, ce remplacement (rollover, dans la langue d’Alan Turing) est une opération délicate et qui nécessite le strict respect d’un certain nombre de durées. Ce #RFC donne des conseils sur la temporalité des opérations DNSSEC.

    ▻https://www.bortzmeyer.org/7583.html

    #temps

    Stéphane Bortzmeyer @stephane CC BY-SA
    Écrire un commentaire
  • @lydie
    Lydie @lydie CC BY 16/10/2015
    3
    @stephane
    @gastlag
    @martin
    3

    La vaste blague Images d’art — Medium
    ▻https://medium.com/@symac/la-vaste-blague-images-d-art-644e83124136

    Lydie @lydie CC BY
    • @reka
      Reka @reka CC BY-NC-SA 16/10/2015

      https://cdn-images-1.medium.com/max/800/1*UkUPhEyE8XQBj8yo2T6FTw.jpeg

      Et commençons par l’élément le plus critique, comment peut-on, en 2015, espérer faire rayonner la France en proposant des images de 768 pixels par 650 ? Pour donner un ordre d’idée et sans entrer dans des considérations techniques sur ce qu’est une résolution d’image, cela correspond à un demi écran du dernier iPhone ! Et très concrètement, cela s’illustre par la comparaison suivante pour La liberté guidant le peuple d’Eugène Delacroix proposée par Gallorum sur twitter. Ce rayonnement international est un peu flou…

      Reka @reka CC BY-NC-SA
    • @stephane
      Stéphane Bortzmeyer @stephane CC BY-SA 19/10/2015

      On peut aussi noter que le domaine est mal signé avec #DNSSEC et donc inaccessible depuis les gens qui utiisent un résolveur DNS validant (Free, Google). ▻https://zonemaster.net/test/40381 ▻http://dnsviz.net/d/images-art.fr/ViTnig/dnssec

      Ce problème est désormais réparé. Leçons en ▻http://www.bortzmeyer.org/dnssec-qui-est-coupable.html

      Stéphane Bortzmeyer @stephane CC BY-SA
    • @stephane
      Stéphane Bortzmeyer @stephane CC BY-SA 19/10/2015

      #copyfraud #copyright_madness #culture

      Stéphane Bortzmeyer @stephane CC BY-SA
    • @gastlag
      Gastlag @gastlag CC BY-SA 26/10/2015

      à comparer aux musées nationaux norvégiens ▻http://seenthis.net/messages/421876

      Gastlag @gastlag CC BY-SA
    Écrire un commentaire
  • @stephane
    Stéphane Bortzmeyer @stephane CC BY-SA 25/09/2015

    RFC 7646 : Definition and Use of DNSSEC Negative Trust Anchors

    Comme toutes les techniques de sécurité, #DNSSEC, qui vise à assurer l’autenticité des réponses #DNS, a ses inconvénients. De même qu’une serrure fermée à clé peut avoir pour conséquence de vous empêcher de rentrer chez vous, si vous avez oublié la clé, de même DNSSEC peut empêcher d’accéder à un domaine si le gérant de la zone a commis une erreur technique. Autant le DNS d’avant était très tolérant (il fallait vraiment insister pour « planter » une zone), autant DNSSEC est délicat : les erreurs ne pardonnent pas, puisque le but de DNSSEC est justement d’empêcher l’accès aux données si elles sont suspectes. Mais les outils et les compétences pour gérer DNSSEC ne sont pas encore parfaitement au point et ne sont pas utilisés partout. Il y a donc de temps en temps des plantages, qui ont pour conséquence la panne d’une zone DNS entière. Face à ce problème, les gérants des résolveurs DNS validants aimeraient bien temporairent suspendre les vérifications, après avoir vérifié qu’il s’agissait bien d’un problème et pas d’une attaque. Cette suspension temporaire et limitée se nomme #NTA pour Negative Trust Anchor et est décrite dans ce #RFC.

    ▻http://www.bortzmeyer.org/7646.html

    Stéphane Bortzmeyer @stephane CC BY-SA
    Écrire un commentaire
  • @liotier
    liotier @liotier CC BY-SA 16/01/2015

    ’Against #DNSSEC'
    ▻http://sockpuppet.org/blog/2015/01/15/against-dnssec

    liotier @liotier CC BY-SA
    • @severo
      severo @severo PUBLIC DOMAIN 16/01/2015
      @stephane

      Après un lecture rapide, je comprends que les arguments principaux sont :
      – la technologie est vieille
      – la sécurité n’augmente avec DNSSEC que dans peu de cas
      – personne n’utilise DNSSEC alors que ça fait des années que c’est disponible
      – c’est trop compliqué à implémenter et utiliser
      – ça revient à transférer la confiance des autorités de certification PKI (privées pour la plupart) aux gouvernements qui gèrent les noms de domaine de primer niveau (et ça serait mal selon l’auteur).

      J’ai bien lu ? Et qu’en penses-tu, ce sont des arguments valables pour conseiller de ne pas implémenter ni utiliser DNSSEC ?

      Qu’en pense @stephane ?

      severo @severo PUBLIC DOMAIN
    • @stephane
      Stéphane Bortzmeyer @stephane CC BY-SA 16/01/2015

      Stéphane il en pense que « réfuter les conneries prend bien plus de temps que de les produire » et qu’il n’a pas de temps à perdre avec un travail trollesque d’aussi mauvaise foi.

      http://imgs.xkcd.com/comics/duty_calls.png

      Stéphane Bortzmeyer @stephane CC BY-SA
    • @liotier
      liotier @liotier CC BY-SA 16/01/2015
      @stephane

      Discussion sur #HN :
      ▻https://news.ycombinator.com/item?id=8894902

      J’avoue que je pensais très fort à @stephane en postant ça...

      liotier @liotier CC BY-SA
    Écrire un commentaire
  • @stephane
    Stéphane Bortzmeyer @stephane CC BY-SA 27/12/2014

    ISOC has some ideas to keep the beginning hackers active on weekends: “Do you have some vacation time during Christmas and New Year’s Day? Are you looking for a weekend project to try out something new? Maybe improve your home network? Or learn a new skill for 2015? If so, why not check out our list of weekend projects [...]”

    ▻http://www.internetsociety.org/deploy360/blog/category/weekend-projects

    #BGP #DNSSEC #IPv6 #DANE #Internet

    • #Christmas
    • #New Year's Day
    • #home network
    Stéphane Bortzmeyer @stephane CC BY-SA
    Écrire un commentaire
0 | 25 | 50 | 75

Thèmes liés

  • #dnssec
  • #dns
  • #dns
  • #rfc
  • #afnic
  • technology: dns
  • #internet
  • #rfc
  • #cryptographie
  • #x.509
  • #ipv6
  • #unbound
  • #dane
  • #internet
  • #afnic
  • country: chine
  • #icann
  • organization: federal bureau of investigation
  • #ipv6
  • #sécurité
  • #oarc
  • #seenthis
  • #opendnssec
  • #tls
  • #bind
  • #bgp
  • country: france
  • company: google
  • technology: ipv6
  • #web
  • #security
  • #afnic
  • #bgp
  • company: comcast
  • #dane
  • person: stephane bortzmeyer
  • #seenthis_todo
  • country: allemagne
  • person: free
  • url: www.epochtimes.de