On Tue, Nov 06, 2012 at 02:31:45PM +0100, Kavé Salamatian <kave.salamat...@univ-savoie.fr> wrote a message of 16 lines which said:
> Si en construisant des certificats ont peu se faire passer pour > Google, on peu aussi ce faire passer pour un server DNSSEC par le > meme moyen. Dans le cas de l'opération Tulipe Noire, contre Diginotar, l'autorité qui signait avait été piratée. Scoop (même pas sous NDA) : si on pirate Verisign, on peut polluer la base de .COM et DNSSEC n'y pourra rien. La solution ne s'appelle pas régulation (ça, c'est la solution des politiciens qui trouvent qu'ils manquent de pouvoir) mais bonnes pratiques de sécurité (yaka...) Et puis, comme le rappelle Pierre Beyssac dans un autre message, la grosse différence entre X.509 et DNSSEC est qu'avec X.509, il suffit de pirater N'IMPORTE LAQUELLE des AC (Diginotar n'était PAS l'AC de Google). Au contraire, avec le DNS, on n'a besoin de faire confiance qu'à ses fournisseurs à soi qu'on a choisi (je prends un .FR, je fais confiance à l'AFNIC, mais pas à Verisign, et réciproquement si je prends un .COM). --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
