On Wed, Apr 23, 2025 at 12:05:27PM +0200, Thierry CHICH <thierry.ch...@ac-clermont.fr> wrote a message of 58 lines which said:
> C’est juste que je ne comprends pas pourquoi on ne pourrait pas > profiter de cette chaîne de confiance pour émettre des certificats > ssl pour les domaines qu’on maîtrise. Comme indiqué par Alarig, on peut : https://www.bortzmeyer.org/6698.html Vous avez un exemple sur www.afnic.fr : % dig _443._tcp.www.afnic.fr TLSA ; <<>> DiG 9.18.33-1~deb12u2-Debian <<>> _443._tcp.www.afnic.fr TLSA ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 400 ;; flags: qr rd ra ad; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 1 ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags: do; udp: 1232 ;; QUESTION SECTION: ;_443._tcp.www.afnic.fr. IN TLSA ;; ANSWER SECTION: _443._tcp.www.afnic.fr. 521 IN TLSA 3 0 1 ( 7BCF71B449D0487F244BC2315349A94F0751F04CF78C 7AEEABD08E66828F96C3 ) _443._tcp.www.afnic.fr. 521 IN RRSIG TLSA 13 5 600 ( 20250514060535 20250414031006 6634 afnic.fr. lBTxsQZdRq9l6PXhk0GRTftbr/z8CpU7VPVB6VTjOQ2e E9WpThPb0JeU+VDfEnTkB11TEdpjsUS27InxsJjweA== ) ;; Query time: 0 msec ;; SERVER: 127.0.0.1#53(127.0.0.1) (UDP) ;; WHEN: Wed Apr 23 12:14:02 CEST 2025 ;; MSG SIZE rcvd: 202 % tlsa --verify www.afnic.fr SUCCESS (Usage 3 [DANE-EE]): Certificate offered by the server matches the TLSA record (51.178.83.21) SUCCESS (Usage 3 [DANE-EE]): Certificate offered by the server matches the TLSA record (2001:41d0:404:200::2df6) --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
