On Tue, May 14, 2024 at 08:54:24AM +0200, Alain Thivillon <[email protected]> wrote a message of 36 lines which said:
> Le choix d'un serveur "secondaire" d'une telle zone a de lourds > impacts en termes de sécurité. Et l'absence d'un secondaire a également de lourds impacts, come on l'a vu hier. > Si ns.univ-truc.fr se fait compromettre et qu'une partie des > contribuables arrive sur un DNS puis un site malveillant, ça ne va > pas Cette attaque est bien sûr possible, ceci dit, je n'ai jamais vu de cas documenté où ça s'était produit (mais, si les Russes lisent FRnog, cela va leur donner des idées). La solution est double : - choisir des secondaires de confiance (c'est plus facile pour le gouvernement, qui peut prendre d'autres serveurs gouvernementaux), - signer. > Et ce d'autant qu'aucune zone en *.gouv.fr ne semble DNSSEC-signée, > y compris celle de l'agence qui préconise de le faire. Oui, le fait que impots.gouv.fr ne soit pas signé prouve clairement que les raisons de ne pas avoir de secondaire externe n'ont rien à voir avec une préoccupation de sécurité. --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
