Salut Thierry DNSSEC n’a rien à voir avec TLS 🙄 Il garantit la sincérité des réponses de bout en bout de l’arbre DNS.
Pour le chiffrement de transport, c’est plutôt DoT ou DoH. > On 18 Apr 2025, at 12:15, Thierry Chich <thierry.ch...@ac-clermont.fr> wrote: > > Bonjour > > Je vois que le cab forum vient de décider de raccourcir encore les temps de > validité des certifs, et je m'interroge sur les conséquences d'une telle > mesure. Par exemple, sur le fait que ça me parait concentrer en peu de mains > un pouvoir très important, ce qui est quand même inquiétant en terme de > robustesse de l'internet en général. Avec une vérification du domaine sur 10 > jours, on peut commencer à se demander ce qui se passerait dans le cas d'une > attaque soutenue sur des infras de PKI. > > D'où la question: a-t-il été déjà été proposé que la distribution de > certificats puissent dépendre de l'infrastructure DNSSEC ? Après tout, une > entreprise qui délivre un certificat dont elle aura vérifié que j'ai bien les > droits de le demander sur la foi d'un enregistrement CAA, elle sert à quoi ? > Pourquoi je ne pourrais pas émettre des certificats sursignés par mon > certificat de domaine ? > > > -- > > Thierry CHICH > > > > --------------------------- > Liste de diffusion du FRnOG > http://www.frnog.org/ > --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
