Stéphane Bortzmeyer
Et l'URL de la journée : https://indico.mathrice.fr/event/286/
#DNS, DNS et encore DNS.
À votre avis, #JoSy, ça veut dire quoi ?
(On ne triche pas, on n'utilise pas Google.)
La résolution #DNS, expliquée avec le domaine www.lesphotosderegis.fr https://botsin.space/@DNSresolver/107217888544381669
DNS resolver bot (@[email protected])
@[email protected] 213.186.33.5 ✅ [Authenticated by DNSSEC]
Régis Massé rappelle que l'#Afnic, gérante du .fr, est une association 1901 (« pas de méchants actionnaires »).
18 millions d'€ de chiffre d'affaires annuel quand même.
Maintenant, Olivier Prins (#CNRS, c'est lui qui gère cnrs.fr https://botsin.space/@DNSresolver/107218118748586481 et pas mal d'autres) sur les bonnes pratiques et la fiabilisation du #DNS.
420 zones esclaves sur ns4.cnrs.fr, par exemple.
DNS resolver bot (@[email protected])
@[email protected] camus.dr15.cnrs.fr. ns0.cnrs.fr. panoramix.rap.prd.fr. ns3.cnrs.fr. ns2.cnrs.fr.
Une erreur technique dans son explication de la résolution #DNS : le serveur d'autorité n'est pas choisi en « round-robin » mais le résolveur sélectionne le plus rapide. (Et sa démo est trompeuse puisque dig +trace n'a pas de mémoire donc ne peut pas connaitre le plus rapide.)
Sans compter les serveurs qui hébergent à la fois une zone et sa sous-zone (mauvaise pratique). Son explication du problème est donc cafouilleuse.
Je découvre que le #CNRS prône la réservation de variantes avec caractères composées https://botsin.space/@DNSresolver/107218173835854925
DNS resolver bot (@[email protected])
@[email protected] ns2.cnrs.fr. ns3.cnrs.fr. ns0.cnrs.fr.
Pas mal des supports d'Olivier Prins (CNRS) mériteraient une mise à jour. Par exemple, #SPF n'utilise plus le type SPF, et le RFC est désormais le 7208, plus le 4408. https://www.bortzmeyer.org/7208.html
Beaucoup de FUD contre #DNSSEC de la part de Thibaud Dubbé et Arnaud Jolivet (NameShield). Un des arguments les plus WTF : les algorithmes utilisés seront vulnérables aux ordinateurs quantiques (avec cet argument, on ne ferait plus de crypto). Un autre : pas de mode avertissement « comme dans HTTPS » (alors que justement HTTPS essaie de supprimer ces avertissements, avec HSTS).
À propos de la panne Facebook https://www.bortzmeyer.org/facebook-octobre-2021.html, un joli terme sur #BGP : la « désannonce ».
« Les fichiers YAML sont gérés par vim. C'est ce qui est le plus facile. »
C'est pas très FrenchTech et StartupNation, à #JoSy.
mmu_man@bortzmeyer c'est un terme de radio aussi 🙂
John Shaft (ジョン・シャフト) ✅@bortzmeyer Je suppose que NameShield vend de la « protection » military-grade-post-quantum-validated avec du ™ dans le nom parce que c'est des gens sérieux.
Et sinon ils ont repérés que l'on peut ajouter des algorithmes au registre ? 🤔
@Shaft Ils ont aussi dit « avec le monitoring, on peut faire de l'alerting » sans rigoler.
@bortzmeyer Ah oui. Fini le rigoling a ce niveau 🤯
Patrick Mevzek@bortzmeyer Comme DNSSEC utilise les mêmes algorithmes que HTTPS (et tout TLS), leur argument amène juste à la conclusion que tout est cassé. Quant à l'avertissement, la présence de l'enregistrement DS chez le parent me semble être suffisant en la matière.
@pmevzek Je crois qu'« avertissement » faisait allusion à un mode où les erreurs ne sont pas fatales (comme le ?all de SPF ou le p=none de DMARC).
Note : le serveur Web de Nameshield utilise HSTS donc les erreurs de certificat dont fatales...
@bortzmeyer Ils ne doivent pas savoir qu'on peut tester complètement une configuration DNS même sans la délégation active du parent. Mais dès que c'est actif, avec les TTLs on ne peut plus jouer avec un mode "pour de faux".