Je comprends bien. C’est juste que je ne comprends pas pourquoi on ne pourrait pas profiter de cette chaîne de confiance pour émettre des certificats ssl pour les domaines qu’on maîtrise.
Cordialement Thierry Chich > Le 18 avr. 2025 à 19:30, Guillaume Tournat via frnog <frnog@frnog.org> a > écrit : > > Salut Thierry > > DNSSEC n’a rien à voir avec TLS 🙄 > Il garantit la sincérité des réponses de bout en bout de l’arbre DNS. > > Pour le chiffrement de transport, c’est plutôt DoT ou DoH. > > > >> On 18 Apr 2025, at 12:15, Thierry Chich <thierry.ch...@ac-clermont.fr> wrote: >> >> Bonjour >> >> Je vois que le cab forum vient de décider de raccourcir encore les temps de >> validité des certifs, et je m'interroge sur les conséquences d'une telle >> mesure. Par exemple, sur le fait que ça me parait concentrer en peu de mains >> un pouvoir très important, ce qui est quand même inquiétant en terme de >> robustesse de l'internet en général. Avec une vérification du domaine sur 10 >> jours, on peut commencer à se demander ce qui se passerait dans le cas d'une >> attaque soutenue sur des infras de PKI. >> >> D'où la question: a-t-il été déjà été proposé que la distribution de >> certificats puissent dépendre de l'infrastructure DNSSEC ? Après tout, une >> entreprise qui délivre un certificat dont elle aura vérifié que j'ai bien >> les droits de le demander sur la foi d'un enregistrement CAA, elle sert à >> quoi ? Pourquoi je ne pourrais pas émettre des certificats sursignés par mon >> certificat de domaine ? >> >> >> -- >> >> Thierry CHICH >> >> >> >> --------------------------- >> Liste de diffusion du FRnOG >> http://www.frnog.org/ >> --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
