Un site qui regroupe une liste de configurations concernant le chiffrement (SSL/TLS) pour différents services.
Voici un document au format PDF pour aider à la mise en place et configuration du système DNSSEC avec le logiciel BIND9.
Copie : https://thican.net/~thican/bind_dnssec-guide.pdf
Voir aussi le manuel de référence d'administration de BIND9 (version 9.10.2) : ftp://ftp.isc.org/isc/bind9/cur/9.10/doc/arm/Bv9ARM.pdf
(copie : https://thican.net/~thican/bind_Bv9ARM.pdf)
Ce petit billet me sert principalement de garde-mémoire, je ne vais donc pas détailler ce qu'est le champ TLSA et son but ; ceci est détaillé dans la RFC6698 “The DNS-Based Authentication of Named Entities (DANE) Transport Layer Security (TLS) Protocol: TLSA” (https://tools.ietf.org/html/rfc6698)
Principalement, ce qui nous intéresse, c’est de fournir soit l’empreinte de la clef, soit l’empreinte du certificat ; c’est ce que définit le champ "Selector" (section 2.1.2).
Remarque : j’ai considéré par défaut que nous sommes dans le cas d’un "DANE-EE: Domain Issued Certificate", valeur "3" du champ "Certificate Usage" (section 2.1.1).
-
Si vous souhaitez uniquement donner l’empreinte de votre clef (valeur "1" dans le "Selector Field"), utilisez les valeurs "3 1 1" et "3 1 2" respectivement pour les hashs SHA256 et SHA512 ;
Ensuite, vous pouvez au choix déterminer les hashs (SHA256 et SHA512) à partir de la clef privée (n’oubliez pas l’option -pubout, voir openssl pkey(1))
openssl pkey -outform DER -pubout -in "/path/to/private.key" | openssl dgst -sha256
openssl pkey -outform DER -pubout -in "/path/to/private.key" | openssl dgst -sha512
OU, en alternative, déterminer les hashs (SHA256 et SHA512) à partir d'un certificat (c’est ainsi de cette façon qu’un tiers peut vérifier)
openssl x509 -noout -pubkey -in "/path/to/certificat_file.pem" | openssl pkey -outform DER -pubin | openssl dgst -sha256
openssl x509 -noout -pubkey -in "/path/to/certificat_file.pem" | openssl pkey -outform DER -pubin | openssl dgst -sha512 -
Par contre, si vous souhaitez fournir l’empreinte complète du certificat, utilisez les valeurs "3 0 1" et "3 0 2" respectivement, et exécutez :
openssl x509 -noout -fingerprint -in "/path/to/certificat_file.pem" -sha256
openssl x509 -noout -fingerprint -in "/path/to/certificat_file.pem" -sha512
Ensuite, créer une entrée DNS dans votre zone, en suivant la sémantique suivante :
<port>.<protocole>.<nomdedomaine> IN TLSA <X Y Z> <hash>
Par exemple, pour avoir le hash du certificat pour le service HTTPS, donc le protocole TCP qui répond au port 443, sur la machine foo.example.com, le résultat est "_443._tcp.foo.example.com." (ne pas oublier le dernier point à la fin).
Et pour les valeurs <X Y Z> :
X → https://tools.ietf.org/html/rfc6698#section-2.1.1 : la valeur "3" indique que ce sont des informations avec le certificat le plus proche.
Y → https://tools.ietf.org/html/rfc6698#section-2.1.2 : exporter la clef est plus simple, de ce que j’ai compris.
Z → https://tools.ietf.org/html/rfc6698#section-2.1.3 : "1" pour le hash SHA256, "2" pour le hash SHA512.
Concernant le hash, n'oubliez pas de supprimer les doubles-points (par exemple : echo $hash | tr -d ':')
Sources :
Autre outil (mais en anglais) concernant les noms de domaine, en particulier pour la mise en place du DNSSEC.
Très pratique pour détecter les erreurs.
Un outil du site web de l'AFNIC (registar français pour les TLD en .fr) pour analyser les erreurs possibles contenu dans une zone. Très pratique, car il permet aussi de vérifier les plages de temps de l'entrée SOA.
Pour info concernant le SOA, voici les règles de l'AFNIC :
- Le numéro de série suit la forme AAAAMMJJnn.
- Le champ 'refresh' du SOA est entre 1H et 2D.
- Le champ 'retry' du SOA est entre 15M et 1D.
- Le champ 'expire' du SOA est entre 1W et 100W.
- Le champ 'minimum' du SOA est entre 3M et 1W.
tout en vérifiant : - Le champ 'retry' du SOA inférieur à celui du 'refresh'.
- Le champ 'expire' est au moins 7 fois celui du 'refresh'.
Voilà, je me suis lancé dans l'aventure NXT, et pour aider les nouveaux, je suis prêt (dans la limite du raisonnable) à envoyer 1 NXT, actuellement de la valeur de la "taxe" (fee), pour vous permettre de faire une transaction sortante et ainsi valider votre clef publique.
Pour cela, envoyez-moi simplement un courriel, avec votre "account ID" de la forme NXT-????-????-????-?????, ainsi que votre clef publique (car tant que le compte n'a rien envoyé, il n'existe pas sur le réseau et l'identifiant "NXT-..." ne sera pas trouvé).
Pour plus d'infos, en attendant que je détaille de mon côté, commencez par le wiki officiel https://wiki.nxtcrypto.org/
Wouah... ça c'est du "business model" qui sent mauvais l'arnaque ; créer l'offre et la demande.
Et ils osent appeler ça des gTLD ? Pouah !
29,49€ HT/an, pour une entrée dans une base de données, punaise, il y a vraiment des escrocs...
Certes, ce n'est pas très "neutre" comme façon de faire, mais vu que ça fait plusieurs années que je reçois différents tentatives d'attaques sur mes serveurs, autant agir préventivement.
Voici les différents ranges que j'ai bannis :
1.160.0.0/12
36.224.0.0/12
111.240.0.0/12
114.24.0.0/14
114.32.0.0/12
118.160.0.0/13
118.168.0.0/14
220.128.0.0/12
Juste pour infos, un /14 correspond à 262 144 adresses possibles (4256256), un /13 à 524 288 (comme /14 2), et un /12 ... à 1 048 576 adresses ! (/13 2 aussi, ou /14 * 4).
En total, je suis à plus de six millions d'entrées (6 291 456).
Avant, c'était fail2ban qui bannissait une par une, là, c'est déjà fait.
Oui, arrêtez vos sarcasmes, et dites le franchement : Non, c'est vraiment une idée stupide.
Petite correction de l'article, d'après ce que j'ai trouvé comme infos, non, l'application ne permet pas d'envoyer "no Yo". Du coup, le côté binaire de l'application est caduque, c'est un simple système unaire https://fr.wikipedia.org/wiki/Système_unaire
Là où je suis stupéfait par cette application, ce n'est pas l'idée en lui-même du « message binaire », mais bien le fait de devoir s'inscrire, qu'il faut faire parti de ce « réseau », et d'être dépendant d'un seul prestataire, pour que fonctionne ce service.
J'ai l'impression que les gens, dès lorsqu'ils utilisent un service lié à internet, désactivent leur cerveau, et du coup ne réfléchissent plus. Auriez-vous accepté, de manger uniquement des aliments d'une unique marque, parce que vous avez des assiettes et des couverts de la même marque ? Pareil pour vos voitures, est-ce que vous auriez accepté d'être interdit de rouler sur telle route, car vous n'avez pas les bonnes marques de pneu, moteur, carburant ?
Bref, il suffit des idées stupides ! Et comme je suis aimable, je vous offre une bonne idée, et elle est toute simple : utilisez votre cerveau !
Un bon article sur le rapport de la "neutralité des plateformes" du Conseil National du Numérique (CNNum).
Voir aussi le résumé sur Numérama : http://www.numerama.com/magazine/29690-la-neutralite-des-plateformes-qu-est-ce-que-c-est.html
Enfin vers un internet décentralisé, et moins sous le contrôle d'un pays qui veut imposer sa vision des choses au monde entier. :-)
Suite d'articles en anglais au sujet du fonctionnement autour de l'email, ou "courriel", les difficultés rencontrées pour satisfaire son implémentation, etc.
Knot, une alternative dans le monde des serveurs DNS, comme BIND.
Rapide et performant.
Prévisible, et pathétique.
TL;DR
(Via Schneier https://www.schneier.com/blog/archives/2013/12/bitcoin_explana.html)
Un article très intéressant au sujet du P2P à la manière d'eMule.
(voir aussi http://www.numerama.com/magazine/1625-le-p2p-de-2005-l-annee-decisive.html)
En voilà une bonne initiative.
De mon avis, le chiffrement n'est pas une solution à long terme ; elle conforte dans un faux sentiment de sécurité et de vie privée, et surtout n'empêchera pas la copie des données brutes.
Là où un changement serait efficace, ce serait aussi de mieux décentraliser les données et de permettre un transport des données avec le chemin le plus court en nombre de routeurs et aussi en distance, donc, d'éviter les autoroutes à données, en augmentant le maillage.
Lien direct : http://www.bortzmeyer.org/ietf-securite-espionnage-bis.html
Billet de blog mettant en lumière quelques contradictions entre le mode "physique" et le monde numérique, ce dernier appelé Cyberespace.