[/!\] DNSSEC : Ne plus utiliser SHA1 [/!\]
#1
Exclamation 

Bonsoir,

Pour tous ceux qui gèrent leur(s) zone(s) DNS ainsi que DNSSEC, changez vos paramètres de clé pour ne plus utiliser SHA-1 !

Préférez l'un des deux algorithmes suivants - concernant les clés DNS :
- à minima : ECDSAP256SHA256
- recommandé : ED25519
- le mieux : ED448
- ou au pire : RSASHA256 avec une clé minimale de 2048 bits - NE PAS UTILISER RSASHA512 !

Quant à l'algorithme pour DS, et CDS, il est fortement recommandé l'utilisation de SHA-384, même si SHA-256 peut être envisagé à minima.

Une fois vos paramètres de configuration changés, re-générez toutes vos clés KSK et ZSK !!!

source
RFC 8624

----

PS : Au fait : non NSEC3 n'est pas ce qui se fait de mieux Wink

GPG:Fingerprint ed25519 : **072A 4DA2 8AFD 868D 74CF  9EA2 B85E 9ADA C377 5E8E**
GPG:Fingerprint rsa4096 : **4E0D 4AF7 77F5 0FAE A35D  5B62 D0FF 7361 59BF 1733**
Répondre
#2

Merci du rappel.
Je suis un peu embêté du coup. J'utilise RSASHA512, mais les alternatives sont limitées d'après tes conseils à
ECDSAP384SHA384

Code :
ldns-keygen -a list
Possible algorithms:
RSAMD5
RSASHA1
RSASHA1-NSEC3-SHA1
RSASHA256
RSASHA512
ECDSAP256SHA256
ECDSAP384SHA384
DSA
DSA-NSEC3-SHA1
hmac-md5.sig-alg.reg.int
hmac-sha1
hmac-sha256
hmac-sha224
hmac-sha384
hmac-sha512
Répondre
#3

J'y pense, il faut modifier la conf par défaut de ldnscripts alors. (d'ailleurs, je n'ai eu aucun retour sur ports@)
Répondre
#4

Oui, il faut la modifier.
Et, si je ne me trompe pas, tu peux enlever/commenter toutes références à NSEC3 aussi !!!

Par contre, je ne sais pas comment on peut spécifier l'algo pour DS/CDS ! ???

J'ai essayé de regarder un peu du côté de ZKT, mais rien compris pour l'instant :p

GPG:Fingerprint ed25519 : **072A 4DA2 8AFD 868D 74CF  9EA2 B85E 9ADA C377 5E8E**
GPG:Fingerprint rsa4096 : **4E0D 4AF7 77F5 0FAE A35D  5B62 D0FF 7361 59BF 1733**
Répondre
#5

Ouep, on a du code à écrire en fait Smile
Répondre
#6

çàd ?

GPG:Fingerprint ed25519 : **072A 4DA2 8AFD 868D 74CF  9EA2 B85E 9ADA C377 5E8E**
GPG:Fingerprint rsa4096 : **4E0D 4AF7 77F5 0FAE A35D  5B62 D0FF 7361 59BF 1733**
Répondre
#7

Il va falloir aider 22decembre Smile
Répondre
#8

D'autant que si j'en crois le changelog de la v1.7.1 que nous avons sur 6.6 :


Citation :ED25519 and ED448 support. Default is to autodetect support in

  OpenSSL.  Disable with --disable-ed25519 and --disable-ed448.


Donc, il faut chercher à comprendre pourquoi quand on fait `ldns-keygen -a list` ces deux derniers algorithmes ne sont pas affichés !!!

GPG:Fingerprint ed25519 : **072A 4DA2 8AFD 868D 74CF  9EA2 B85E 9ADA C377 5E8E**
GPG:Fingerprint rsa4096 : **4E0D 4AF7 77F5 0FAE A35D  5B62 D0FF 7361 59BF 1733**
Répondre
#9

Après il faut être conscient que le maillon faible dans la chaîne semble être le TLD .org, dans notre cas.

En effet, il est toujours géré avec l'algo RSASHA1-NSEC3-SHA1 Sad

Citation :org
Found 2 DS records for org in the . zone
DS=9795/SHA-1 has algorithm RSASHA1-NSEC3-SHA1
DS=9795/SHA-256 has algorithm RSASHA1-NSEC3-SHA1
Found 1 RRSIGs over DS RRset
RRSIG=33853 and DNSKEY=33853 verifies the DS RRset
Found 4 DNSKEY records for org
DS=9795/SHA-1 verifies DNSKEY=9795/SEP
Found 3 RRSIGs over DNSKEY RRset
RRSIG=9278 and DNSKEY=9278 verifies the DNSKEY RRset

Sad

----

Stéphane Bortzmeyer a confirmé mes craintes. cf : sa réponse

GPG:Fingerprint ed25519 : **072A 4DA2 8AFD 868D 74CF  9EA2 B85E 9ADA C377 5E8E**
GPG:Fingerprint rsa4096 : **4E0D 4AF7 77F5 0FAE A35D  5B62 D0FF 7361 59BF 1733**
Répondre
#10

De mes investigations ce soir, il semble que même si la bibliothèque ldns gère ces deux algos de courbe elliptiques que sont ed25518/448 depuis la version 1.7.1, LibreSSL n'a pas le support.

Pour info :
- https://ianix.com/pub/libressl-deployment.html <= où l'on voit que LibreSSL gère seulement pour l'échange des clés, l'algo X25519, qui est une "variante".
- https://github.com/openbsd/src/commit/67...39eefaad43 <= pourtant des objects de gestion semblent avoir été ajoutés dans le code de LibreSSL

Sous la recommandation de solene, j'ai demandé à comprendre, qu'on m'explique sur bsd.network. Peut-être auraies-je une réponse édifiante ?! (si c'est le cas, je partagerais ici).

GPG:Fingerprint ed25519 : **072A 4DA2 8AFD 868D 74CF  9EA2 B85E 9ADA C377 5E8E**
GPG:Fingerprint rsa4096 : **4E0D 4AF7 77F5 0FAE A35D  5B62 D0FF 7361 59BF 1733**
Répondre


Sujets apparemment similaires…
Sujet / Auteur Réponses Affichages Dernier message

Atteindre :


Utilisateur(s) parcourant ce sujet : 1 visiteur(s)