Re: [TECH] DNSSEC
Le 20-oct.-10 à 10:59, Pascal Robinet a écrit : Le mardi 19 octobre 2010 à 21:27 +0200, Jean-Charles de Longueville a écrit : Le 19-oct.-10 à 01:08, Fabien Germain a écrit : Bonsoir, 2010/10/18 Jean-Charles de Longueville je m'interroge sur dnssec. j'utilise avec bonheur djbdns depuis plusieurs annees tant comme server que comme resolver. J'aime beaucoup sa syntaxe de configuration facilement generable par mes scripts et le fait que les roles distincts doivent tourner sur des machines/IP distinctes. Je me dit qu'il est temps que je m'y mette egalement. Mais je n'y connais encore rien. Auriez vous des pistes de reflexions sur l'un ou l'autre soft autre que BIND qui fait cela correctement sur (ou sous?) Debian? Ca ne répond que partiellement à ta question, mais l'AFNIC a produit des documents en français sur le sujet, ça te donnera déjà pas mal d'infos techniques sur DNSSEC : DNSSEC : les extensions de sécurité du DNS http://www.afnic.fr/data/divers/public/afnic-dossier-dnssec-2010-09.pdf Sécurité du DNS et DNSSEC https://2009.jres.org/planning_files/article/pdf/5.pdf http://www.afnic.fr/afnic/r_d/dnssec Merci Fabien pour ces pointeurs. Je les ai lus avec beaucoup d'attention et d'interet. C'est parfois un peu velu. Visiblement le sujet en d'actualite brulante pour les .fr ;-) mais sans urgence encore. Donc l'experience encore failble... Je vais creuser un peu plus. Pour info, je gere une centaine de zones dont une seule en .fr Si je trouve une solution qui me satisfasse, j'ecrirai un how-to en francais ;-) Mais visiblement au premier abord, la principale problematique est humaine et non technique. J'ai particulieremnt apprecie l'analogie du chat: "le DNS était la statue d'un chat : une fois finie, elle restait sur l'étagère et n'avait pas besoin d'entretien. Avec DNSSEC, le DNS devient un chat vivant, il faut s'en occuper, changer sa litière, etc." Bonjour à tous, personnellement j'utilises BIND depuis des années et malgré quelques épiphénomènes j'en suis content et rien ne m'a poussé à migrer vers d'autres solutions. Il supporte DNSSEC correctement et sans trop de complexité inutile, en tout cas cela me convient. Je n'ai pas testé l'usage dans d'autres serveurs DNS pour pouvoir comparer. Bonne journée et à bientôt, Pascal Bonjour, j'ai recu la reponse suvante du registry belge (DNS.BE): - http://www.opendnssec.org/ : fait seulement de "signing" et "key rollover" - http://unbound.net/ : Unbound is a validating, recursive, and caching DNS resolver - http://www.nlnetlabs.nl/projects/nsd/ : authoritative only nameserver Et j'ai trouve powerdns interessant aussi... Je vais sans doute vraiment finir par faire un petit papier la dessus mais sans urgence ;-) Cordialement, Jean-Charles Diffusez cette liste aupres de vos relations :-) Linux Azur : http://www.linux-azur.org Vous etes responsable de vos propos. *** Merci de rediger sans SMS, ni HTML ni PJ ***
Re: [TECH] DNSSEC
Bonjour à tous, personnellement j'utilises BIND depuis des années et malgré quelques épiphénomènes j'en suis content et rien ne m'a poussé à migrer vers d'autres solutions. Il supporte DNSSEC correctement et sans trop de complexité inutile, en tout cas cela me convient. Je n'ai pas testé l'usage dans d'autres serveurs DNS pour pouvoir comparer. Bonne journée et à bientôt, Pascal Le mardi 19 octobre 2010 à 21:27 +0200, Jean-Charles de Longueville a écrit : > Le 19-oct.-10 à 01:08, Fabien Germain a écrit : > > > Bonsoir, > > > > 2010/10/18 Jean-Charles de Longueville > > > > je m'interroge sur dnssec. j'utilise avec bonheur djbdns > > depuis plusieurs annees tant comme server que comme > > resolver. J'aime beaucoup sa syntaxe de configuration > > facilement generable par mes scripts et le fait que les > > roles distincts doivent tourner sur des machines/IP > > distinctes. > > > > Je me dit qu'il est temps que je m'y mette egalement. Mais > > je n'y connais encore rien. > > > > Auriez vous des pistes de reflexions sur l'un ou l'autre > > soft autre que BIND qui fait cela correctement sur (ou > > sous?) Debian? > > > > Ca ne répond que partiellement à ta question, mais l'AFNIC a produit > > des documents en français sur le sujet, ça te donnera déjà pas mal > > d'infos techniques sur DNSSEC : > > > > DNSSEC : les extensions de sécurité du DNS > > http://www.afnic.fr/data/divers/public/afnic-dossier-dnssec-2010-09.pdf > > > > Sécurité du DNS et DNSSEC > > https://2009.jres.org/planning_files/article/pdf/5.pdf > > > > http://www.afnic.fr/afnic/r_d/dnssec > > > Merci Fabien pour ces pointeurs. > > > Je les ai lus avec beaucoup d'attention et d'interet. > C'est parfois un peu velu. > Visiblement le sujet en d'actualite brulante pour les .fr ;-) mais > sans urgence encore. > Donc l'experience encore failble... > Je vais creuser un peu plus. > Pour info, je gere une centaine de zones dont une seule en .fr > Si je trouve une solution qui me satisfasse, j'ecrirai un how-to en > francais ;-) > Mais visiblement au premier abord, la principale problematique est > humaine et non technique. > J'ai particulieremnt apprecie l'analogie du chat: > "le DNS était la statue d'un chat : une fois finie, elle restait sur > l'étagère et n'avait pas besoin d'entretien. > Avec DNSSEC, le DNS devient un chat vivant, il faut s'en occuper, > changer sa litière, etc." > > > Cordialement, > Jean-Charles > > > > Diffusez cette liste aupres de vos relations :-) Linux Azur : http://www.linux-azur.org Vous etes responsable de vos propos. *** Merci de rediger sans SMS, ni HTML ni PJ ***
Re: [TECH] DNSSEC
Le 19-oct.-10 à 01:08, Fabien Germain a écrit : Bonsoir, 2010/10/18 Jean-Charles de Longueville longueville.eu> je m'interroge sur dnssec. j'utilise avec bonheur djbdns depuis plusieurs annees tant comme server que comme resolver. J'aime beaucoup sa syntaxe de configuration facilement generable par mes scripts et le fait que les roles distincts doivent tourner sur des machines/IP distinctes. Je me dit qu'il est temps que je m'y mette egalement. Mais je n'y connais encore rien. Auriez vous des pistes de reflexions sur l'un ou l'autre soft autre que BIND qui fait cela correctement sur (ou sous?) Debian? Ca ne répond que partiellement à ta question, mais l'AFNIC a produit des documents en français sur le sujet, ça te donnera déjà pas mal d'infos techniques sur DNSSEC : DNSSEC : les extensions de sécurité du DNS http://www.afnic.fr/data/divers/public/afnic-dossier- dnssec-2010-09.pdf Sécurité du DNS et DNSSEC https://2009.jres.org/planning_files/article/pdf/5.pdf http://www.afnic.fr/afnic/r_d/dnssec Merci Fabien pour ces pointeurs. Je les ai lus avec beaucoup d'attention et d'interet. C'est parfois un peu velu. Visiblement le sujet en d'actualite brulante pour les .fr ;-) mais sans urgence encore. Donc l'experience encore failble... Je vais creuser un peu plus. Pour info, je gere une centaine de zones dont une seule en .fr Si je trouve une solution qui me satisfasse, j'ecrirai un how-to en francais ;-) Mais visiblement au premier abord, la principale problematique est humaine et non technique. J'ai particulieremnt apprecie l'analogie du chat: "le DNS était la statue d'un chat : une fois finie, elle restait sur l'étagère et n'avait pas besoin d'entretien. Avec DNSSEC, le DNS devient un chat vivant, il faut s'en occuper, changer sa litière, etc." Cordialement, Jean-Charles Diffusez cette liste aupres de vos relations :-) Linux Azur : http://www.linux-azur.org Vous etes responsable de vos propos. *** Merci de rediger sans SMS, ni HTML ni PJ ***
Re: [TECH] DNSSEC
Bonsoir, 2010/10/18 Jean-Charles de Longueville > je m'interroge sur dnssec. j'utilise avec bonheur djbdns depuis plusieurs > annees tant comme server que comme resolver. J'aime beaucoup sa syntaxe de > configuration facilement generable par mes scripts et le fait que les roles > distincts doivent tourner sur des machines/IP distinctes. > > Je me dit qu'il est temps que je m'y mette egalement. Mais je n'y connais > encore rien. > > Auriez vous des pistes de reflexions sur l'un ou l'autre soft autre que > BIND qui fait cela correctement sur (ou sous?) Debian? > Ca ne répond que partiellement à ta question, mais l'AFNIC a produit des documents en français sur le sujet, ça te donnera déjà pas mal d'infos techniques sur DNSSEC : DNSSEC : les extensions de sécurité du DNS http://www.afnic.fr/data/divers/public/afnic-dossier-dnssec-2010-09.pdf Sécurité du DNS et DNSSEC https://2009.jres.org/planning_files/article/pdf/5.pdf http://www.afnic.fr/afnic/r_d/dnssec Fabien Diffusez cette liste aupres de vos relations :-) Linux Azur : http://www.linux-azur.org Vous etes responsable de vos propos. *** Merci de rediger sans SMS, ni HTML ni PJ ***
[TECH] DNSSEC
Bonsoir, je m'interroge sur dnssec. j'utilise avec bonheur djbdns depuis plusieurs annees tant comme server que comme resolver. J'aime beaucoup sa syntaxe de configuration facilement generable par mes scripts et le fait que les roles distincts doivent tourner sur des machines/IP distinctes. Je me dit qu'il est temps que je m'y mette egalement. Mais je n'y connais encore rien. Auriez vous des pistes de reflexions sur l'un ou l'autre soft autre que BIND qui fait cela correctement sur (ou sous?) Debian? Cordialement, Jean-Charles Diffusez cette liste aupres de vos relations :-) Linux Azur : http://www.linux-azur.org Vous etes responsable de vos propos. *** Merci de rediger sans SMS, ni HTML ni PJ ***