[FRsAG] Expérimentation DANE

Denis Fondras xxsag at ledeuns.net
Ven 16 Aou 17:42:32 CEST 2013


Bonjour les admins,

Je suis en train d'expérimenter DANE/TLSA (RFC6698) et je rencontre un
problème que j'aimerai bien résoudre.

Si j'ai bien compris, un enregistrement TLSA de type 3 permettrait de se
passer d'une AC connue du client pour assurer la protection des échanges
entre un serveur et son client.

J'ai donc créer un certificat auto-signé, configuré mon NGINX (v1.2.6)
pour présenter ce certificat. A partir de là, lorsque je me connecte au
site, j'ai un message de Firefox (v23.0) qui me dit que ça ne lui va
pas, le certificat est auto-signé (sec_error_untrusted_issuer).
Ok pour moi, l'enregistrement TLSA n'existe pas encore...

Ensuite, je dégaine Swede (https://github.com/pieterlexis/swede) et
j'extrais le RR que je vais ajouter dans ma zone, je l'ajoute, je signe
la zone et je vérifie :

$ dig +short _443._tcp.www.liopen.eu TLSA
3 0 1 1BB87F79788F47D4EDB5B270B0F32460925E7B270024C176F47DE51B BE871DA6

$ swede verify www.liopen.eu
[...]
SUCCESS (usage 3): The certificate offered by the server matches the
TLSA record
[...]

Là, je me dis que c'est bon. Je relance mon Firefox et paf! même page
d'erreur. (sec_error_untrusted_issuer)

J'ai testé avec Chrome, même punition.

J'ai également testé avec les sites du programme Deploy360
(http://www.internetsociety.org/deploy360/resources/dane-test-sites/)
mais entre les domaines qui sont volontairement boiteux et ceux qui
valident car l'AC est reconnue, ça laisse planer le doute.

Les extensions DANE Patrol et Extended DNSSEC Validator ne savent que me
dire que le certificat est auto-signé (merci Captain Obvious!)

Ma question : est-ce que c'est moi qui n'est rien compris ou le support
de TLSA (usage type 3) dans les navigateurs est encore en chantier ?

Merci par avance,
Denis


More information about the FRsAG mailing list