No matter how tightly you restrict outbound access from your network, you probably allow DNS queries to at least one server.

Modern Windows versions add headaches to active VPN users. DNS resolver in earlier versions up to Windows 7 was predictable and made DNS requests in order according to DNS servers preference, just as all other OS. This could lead to DNS Leak only if the DNS server inside the tunnel didn’t reply in time or sent en error, which wasn’t that horrible.

La plaie de DNSSEC, comme celle de tous les systèmes de cryptographie, est la gestion des clés. Avec DNSSEC, la clé de signature des autres clés, la KSK (Key Signing Key) est censée être remplacée (rolled over) régulièrement. Si un résolveur a une KSK dans sa configuration, cela oblige l'administrateur du résolveur à effectuer le remplacement à la main, ce qui peut être contraignant. Notre RFC 5011 propose une autre solution : le domaine signe la nouvelle KSK avec l'ancienne et le résolveur accepte alors automatiquement cette nouvelle clé.

This document describes the privacy issues associated with the use of the DNS by Internet users. It is intended to be an analysis of the present situation and does not prescribe solutions.

L'algorithme de signature russe GOST R 34.10-2001 ayant été spécifié en anglais dans le RFC 5832, plus rien ne s'opposait à son utilisation dans DNSSEC. Ce RFC marque donc l'arrivée d'un nouvel algorithme dans les enregistrements DNSSEC, algorithme portant le numéro 12. via @bortzmeyer

Le mécanisme de sécurité DNSSEC permet évidemment de choisir entre plusieurs algorithmes de signature cryptographique, à la fois pour pouvoir faire face aux progrès de la cryptanalyse et pour pouvoir choisir en fonction de critères particuliers (taille des clés, temps de signature et de vérification, etc). La palette de choix s'agrandit avec ce RFC qui normalise l'usage d'ECDSA, un algorithme à courbes elliptiques (le deuxième dans DNSSEC après le RFC 5933). via @bortzmeyer

L'algorithme de signature Ed25519 ayant été mis en œuvre dans OpenSSH, ce nouveau RFC permet d'utiliser cet algorithme dans les enregistrements DNS SSHFP (SSH fingerprint). via @bortzmeyer

Pour ceux qui ne serait pas forcément au courant, le DNS est à la base de tout l’Internet tel qu’on le connaît aujourd’hui.

It is well-known, for many years, that the chinese governement censors the Internet via several means, including DNS lies. For a long time, these DNS lies have been generated by the netwok itself: when a DNS query for a censored name is seen, an active censorship device generates a lie and sends a reply with the wrong IP address. A few weeks ago, there have been a change in this system: the IP addresses returned by the Great FireWall are more often actual addresses used by real machines, which suddently have to sustain a big traffic from China.

Quelques jours après le FIC (Forum International sur la Cybersécurité, où on avait beaucoup parlé de méchants hackers, forcément djihadistes), un article du Monde nous rappelle que les plus grandes attaques contre la sécurité de l'Internet viennent des États. via @bortzmeyer

I recently introduced you to the PowerDNS REST API and wished that somebody would build a really good Web-based front-end for PowerDNS with it. Henk Jan reminded me of nsedit which I'd simply forgotten about. via @jpmens

Dans le cas d’un serveur dit "mutualisé", plusieurs dizaines de sites sont hébergés sur un même serveur et correspondent donc à une même adresse IP. via @genma

Sur le DNS, je vous invite à voir ma présentation DNS - Vulgarisation, où je dis, Les sites webs sont associés à des noms de domaines et se trouvent sur des serveurs (qui ont une adresse IP) et un serveur DNS est un annuaire qui fait la correspondance nom de domaine - adresse IP. via @genma

Thomas Ptacek laid out a number of arguments against DNSSEC recently (and in a follow up). We don't fully agree on everything, but it did prompt me to write why, even if you assume DNSSEC, DANE (the standard for speaking about the intersection of TLS and DNSSEC) is not a foregone conclusion in web browsers.

Domain-name overseer ICANN has been hacked and its root zone system compromised, the organization has announced. via @jedisct1

Document PDF complet de l'AFNIC sur la mise en place de DNSSEC sur un serveur DNS faisant autorité utilisant Bind 9.9 ou NSD

via @bortzmeyer

C'est l'heure : changer son résolveur DNS comme un vrai pro des internets via @Homlett, @bortzmeyer