Le 20-oct.-10 à 10:59, Pascal Robinet a écrit :
Le mardi 19 octobre 2010 à 21:27 +0200, Jean-Charles de Longueville a
écrit :
Le 19-oct.-10 à 01:08, Fabien Germain a écrit :
Bonsoir,
2010/10/18 Jean-Charles de Longueville
<jean-char...@de-longueville.eu>
je m'interroge sur dnssec. j'utilise avec bonheur djbdns
depuis plusieurs annees tant comme server que comme
resolver. J'aime beaucoup sa syntaxe de configuration
facilement generable par mes scripts et le fait que les
roles distincts doivent tourner sur des machines/IP
distinctes.
Je me dit qu'il est temps que je m'y mette egalement. Mais
je n'y connais encore rien.
Auriez vous des pistes de reflexions sur l'un ou l'autre
soft autre que BIND qui fait cela correctement sur (ou
sous?) Debian?
Ca ne répond que partiellement à ta question, mais l'AFNIC a produit
des documents en français sur le sujet, ça te donnera déjà pas mal
d'infos techniques sur DNSSEC :
DNSSEC : les extensions de sécurité du DNS
http://www.afnic.fr/data/divers/public/afnic-dossier-dnssec-2010-09.pdf
Sécurité du DNS et DNSSEC
https://2009.jres.org/planning_files/article/pdf/5.pdf
http://www.afnic.fr/afnic/r_d/dnssec
Merci Fabien pour ces pointeurs.
Je les ai lus avec beaucoup d'attention et d'interet.
C'est parfois un peu velu.
Visiblement le sujet en d'actualite brulante pour les .fr ;-) mais
sans urgence encore.
Donc l'experience encore failble...
Je vais creuser un peu plus.
Pour info, je gere une centaine de zones dont une seule en .fr
Si je trouve une solution qui me satisfasse, j'ecrirai un how-to en
francais ;-)
Mais visiblement au premier abord, la principale problematique est
humaine et non technique.
J'ai particulieremnt apprecie l'analogie du chat:
"le DNS était la statue d'un chat : une fois finie, elle restait sur
l'étagère et n'avait pas besoin d'entretien.
Avec DNSSEC, le DNS devient un chat vivant, il faut s'en occuper,
changer sa litière, etc."
Bonjour à tous,
personnellement j'utilises BIND depuis des années et malgré quelques
épiphénomènes j'en suis content et rien ne m'a poussé à migrer vers
d'autres solutions.
Il supporte DNSSEC correctement et sans trop de complexité inutile, en
tout cas cela me convient.
Je n'ai pas testé l'usage dans d'autres serveurs DNS pour pouvoir
comparer.
Bonne journée et à bientôt,
Pascal
Bonjour,
j'ai recu la reponse suvante du registry belge (DNS.BE):
- http://www.opendnssec.org/ : fait seulement de "signing" et "key
rollover"
- http://unbound.net/ : Unbound is a validating, recursive, and
caching DNS resolver
- http://www.nlnetlabs.nl/projects/nsd/ : authoritative only nameserver
Et j'ai trouve powerdns interessant aussi...
Je vais sans doute vraiment finir par faire un petit papier la dessus
mais sans urgence ;-)
Cordialement,
Jean-Charles
Diffusez cette liste aupres de vos relations :-)
Linux Azur : http://www.linux-azur.org
Vous etes responsable de vos propos.
*** Merci de rediger sans SMS, ni HTML ni PJ ***
