Post B0wpOVC4EcPy12qchU by MonsieurBalarate@mastodon.social
 (DIR) More posts by MonsieurBalarate@mastodon.social
 (DIR) Post #B0wnqTZxdDlfCyEdJw by lord@pleroma.lord.re
       2025-12-05T15:14:32.069982Z
       
       0 likes, 0 repeats
       
       Dites les gens qui s'y connaissent pas mal en DNS :Pourquoi le peut-être futur RFC concernant acme-dns-persist 🔗  n'utilise pas les enregistremens CAA ?Ça contient la même chose avec la même syntaxe. Ils ont quand même rajouté le "persistUntil" mais ça ce RFC aurait pû juste rajouté ça au CAA, non ?Je trouve ça étrange de faire un second enregistrement qui contient les mêmes infos.
       
 (DIR) Post #B0wnqUeFeknIWZFZeC by bortzmeyer@mastodon.gougere.fr
       2025-12-05T18:59:54Z
       
       0 likes, 0 repeats
       
       @lord Hmmm, pas sûr mais le fait que le traitement du CAA impose de remonter dans l'arbre des noms (une belle erreur), fait qu'il ne peut pas convenir pour de l'authentification.
       
 (DIR) Post #B0woFiJlyBiM9xhIrg by lord@pleroma.lord.re
       2025-12-05T19:07:03.338312Z
       
       0 likes, 0 repeats
       
       @bortzmeyer « impose de remonter dans l'arbre des noms » ? Heuu tu peux expliquer un peu plus ?Tu veux dire que si je veux un cert pour truc.machin.bidule , la CA doit vérifier truc.machin.bidule mais aussi machin.bidule ? En quoi ça empêche de l'auth ?
       
 (DIR) Post #B0woFjgqrrlmPpVFTc by bortzmeyer@mastodon.gougere.fr
       2025-12-05T19:09:16Z
       
       0 likes, 0 repeats
       
       @lord RFC 8659, section 3 "The search for a CAA RRset climbs the DNS name tree from the specified label up to, but not including, the DNS root "." until a CAA RRset is found."L'Afnic peut coller un CAA pour n'importe quel domaine en .fr qui n'en a pas. On voit que, pour authentifier, ce n'est pas terrible.
       
 (DIR) Post #B0woggVymWx4O0Gf1U by lord@pleroma.lord.re
       2025-12-05T19:11:24.747268Z
       
       0 likes, 0 repeats
       
       @bortzmeyer Hoo putain. Du coup un CAA sur .fr serait valable pour tous les sous-domaine O__OC'est … heu … super bizarre ! Ça donne vraiment l'impression que c'est fait pour donner un pouvoir ultime au registry !
       
 (DIR) Post #B0woghtPetI4eyEtBg by bortzmeyer@mastodon.gougere.fr
       2025-12-05T19:14:06Z
       
       0 likes, 0 repeats
       
       @lord Oui, c'est une grosse erreur de CAA.
       
 (DIR) Post #B0wolYLSaFyqUpfWYS by bortzmeyer@mastodon.gougere.fr
       2025-12-05T19:14:58Z
       
       0 likes, 0 repeats
       
       @lord En 1993, on savait déjà que c'était une mauvaise idée : https://www.rfc-editor.org/info/rfc1535
       
 (DIR) Post #B0wpOVC4EcPy12qchU by MonsieurBalarate@mastodon.social
       2025-12-05T19:21:13Z
       
       0 likes, 0 repeats
       
       @bortzmeyer C'est sans doute bête ce que je vais dire mais du coup avec mon .fr: j'ai autant de faire des sous-dossiers que des sous- domaines ou je trompe ?@lord
       
 (DIR) Post #B0wpOW8uhpUOxYNcQK by bortzmeyer@mastodon.gougere.fr
       2025-12-05T19:22:01Z
       
       0 likes, 0 repeats
       
       @MonsieurBalarate @lord Pas compris la phrase. Erreur de syntaxe ?
       
 (DIR) Post #B0wpkptVwzWIaZorZI by bortzmeyer@mastodon.gougere.fr
       2025-12-05T19:26:07Z
       
       0 likes, 0 repeats
       
       @lord Deux TLD ont un CAA, .as et .et.Celui de .et est réussi :-)
       
 (DIR) Post #B0wqkLdmX79CiFn9Yu by lord@pleroma.lord.re
       2025-12-05T19:33:20.599213Z
       
       0 likes, 0 repeats
       
       @bortzmeyer Heuuu c'est une blague ?!C'est quoi ce bordel de CAA sur .et ?! Des entrées dupliquées, des espaces parfois. un "wildcard" qui se balade. certaines tu as juste le nom et pas le fqdn…
       
 (DIR) Post #B0wqkMGmC8L6fC2ILI by bortzmeyer@mastodon.gougere.fr
       2025-12-05T19:37:12Z
       
       0 likes, 0 repeats
       
       @lord Oui, ça ne fait pas très sérieux :-)
       
 (DIR) Post #B0wqvug2bnz2YtMa80 by lord@pleroma.lord.re
       2025-12-05T19:34:25.442698Z
       
       0 likes, 0 repeats
       
       @bortzmeyer Tiens d'ailleurs comment tu fais pour trouver tous les top domain qui ont un CAA ?
       
 (DIR) Post #B0wqvvWVSjx1BbuTuC by bortzmeyer@mastodon.gougere.fr
       2025-12-05T19:38:47Z
       
       0 likes, 0 repeats
       
       @lord Une boucle for :-) https://framagit.org/-/snippets/7595
       
 (DIR) Post #B0wrlTe8Lz3jmm3hVg by lord@pleroma.lord.re
       2025-12-05T19:42:47.896503Z
       
       0 likes, 0 repeats
       
       @bortzmeyer Ha ouai l'AXFR sur . pour choper tous les tld ! 🤯
       
 (DIR) Post #B0wrlVLQ2XHH3JJmcK by bortzmeyer@mastodon.gougere.fr
       2025-12-05T19:48:38Z
       
       0 likes, 0 repeats
       
       @lord Sinon, le fichier racine est public...
       
 (DIR) Post #B0ygIUjCXgblYyKIN6 by lord@pleroma.lord.re
       2025-12-05T19:25:05.838637Z
       
       0 likes, 0 repeats
       
       @bortzmeyer Mais du coup, ce serait pas imaginable de corriger ce truc de remonter tout l'arbre ? Avec une RFC correctrice, ça permettrait de se protéger de cet usage super chelou mais en plus de réutiliser le CAA pour ce nouveau protocole pour acme.
       
 (DIR) Post #B0ygIVnUZDdOsZLEhM by bortzmeyer@mastodon.gougere.fr
       2025-12-06T16:49:33Z
       
       0 likes, 0 repeats
       
       @lord Je n'ai pas suivi l'affaire, faudrait regarder l'archive de courrier de l'IETF.