Post AXn3GLqE6KwwRlMCMS by matclab@mamot.fr
(DIR) More posts by matclab@mamot.fr
(DIR) Post #AXn2ncYwqvtDuQZkfI by matclab@mamot.fr
2023-07-17T14:19:15Z
0 likes, 0 repeats
Est-ce quelqu'un sait si les navigateurs vérifient DNSSEC/DANE et émettent un avertissement le cas échéant ? J'ai trouvé un plugin pour firefox qui ajoute une icone. Sinon, est-ce que DANE est la bonne solution pour alerter d'un man-in-the-midlle ?@bortzmeyer peut-être ?
(DIR) Post #AXn2ndHcArcQ8xTQHo by bortzmeyer@mastodon.gougere.fr
2023-07-17T15:54:15Z
0 likes, 0 repeats
@matclab À mon avis, la vérification de DNSSEC ne devrait pas être faite par le navigateur mais par le résolveur (donc quelque part dans le système d'exploitation).
(DIR) Post #AXn2q6CbclWQPjJ5Dk by bortzmeyer@mastodon.gougere.fr
2023-07-17T15:54:45Z
0 likes, 0 repeats
@matclab DANE est en effet la bonne solution mais aucun navigateur ne le vérfiie :-)
(DIR) Post #AXn3CgoGCRUuJvgvHU by matclab@mamot.fr
2023-07-17T15:58:49Z
0 likes, 0 repeats
@bortzmeyer Oui, je suis d'accord. Par contre il n'y a que le navigateur qui puisse vérifier que le certificat reçu est bien celui attendu (sont la signature est dans le champ TLSA). Je n'arrive pas à trouver d'information sûre por firefox/chromium. Mes essais semblent montrer que Firefox et Chromium se moquent du champ TLSA et affichent une page qui n'a pas été émise avec le bon certificat (MitM) sans sourciller !J'ai peut-être raté quelque chose dans ma configuration.
(DIR) Post #AXn3GLqE6KwwRlMCMS by matclab@mamot.fr
2023-07-17T15:59:26Z
0 likes, 0 repeats
@bortzmeyer Ah, je lis ce message trop tard.Ok. Merci pour la confirmation ! :-)
(DIR) Post #AXn3OptGGPuvxUp37Q by bortzmeyer@mastodon.gougere.fr
2023-07-17T16:00:59Z
0 likes, 0 repeats
@matclab Non, non, ces deux navigateurs, par amour pour les AC, ne traitent pas DANE.