Le 25/02/2016 12:39, David Ponzone a écrit : > Personnellement, je ne me mêle pas du business des autres, et je n’ai pas > d’avis définitif sur la techno. L'avis définitif sur la techno c'est que DNSSEC va signer les réponses depuis la clé racine jusqu'au bout de l'arborescence. Ainsi toute signature modifiée sera considérée comme invalide et le résolveur ne te renverra rien. Le but premier de DNSSEC est donc d'éviter que des requêtes DNS soient modifiées, incluant notamment ce genre de pratiques.
Même pour un NXDOMAIN il faut que cette inexistence soit signée (ce qui est prévu par la RFC 7129 - https://tools.ietf.org/html/rfc7129). Ainsi donc, tout le business model des DNS menteurs se casse la figure et c'est une bonne nouvelle pour la sécurité globale des Internets. PS: Je finis toujours par tomber sur un article de M. Bortzmeyer qui explique les RFC mieux que moi. http://www.bortzmeyer.org/7129.html Solarus
signature.asc
Description: OpenPGP digital signature