Hello, On Fri 18 Apr 2025 12:14:57 GMT, Thierry Chich wrote: > Bonjour > > Je vois que le cab forum vient de décider de raccourcir encore les temps > de validité des certifs, et je m'interroge sur les conséquences d'une > telle mesure. Par exemple, sur le fait que ça me parait concentrer en > peu de mains un pouvoir très important, ce qui est quand même inquiétant > en terme de robustesse de l'internet en général. Avec une vérification > du domaine sur 10 jours, on peut commencer à se demander ce qui se > passerait dans le cas d'une attaque soutenue sur des infras de PKI. > > D'où la question: a-t-il été déjà été proposé que la distribution de > certificats puissent dépendre de l'infrastructure DNSSEC ? Après tout, > une entreprise qui délivre un certificat dont elle aura vérifié que j'ai > bien les droits de le demander sur la foi d'un enregistrement CAA, elle > sert à quoi ? Pourquoi je ne pourrais pas émettre des certificats > sursignés par mon certificat de domaine ? > > > -- > > Thierry CHICH
Ça s’appelle DANE/TLSA, mais malheureusement ça manque de support sur les navigateurs (parce que c’est peu utilisé, et c’est peu utilisé parce que ça manque de support). -- Alarig --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
