DANE / DNSSEC signatures : valid or not valid?

ZW3B · Décembre 7, 2022, 6:34pm

Il faudrait remettre la couleur verte dans la barre d’adresse des navigateurs web pour le HTTPS valide.

Colors

On a comprit style sans couleur ça veut dire normal rouge veut dire « stop », orange « attention », la bonne conduite

Mais sinon, vert, çà veut dire Vie, passe, profite C’est bien !

Et activer la visualisation des DNSSEC et de DANE aux moins aux navigateurs web, dans un premier temps.

Render

Cadena veut dire sécurisé, domaine sécurisé.
Clef veut dire, propriétaire authentifié de l’entité sécurisé

Çà permettrait aux gens de moins (de ne pas) se tromper, et de ne plus (ou moins) se faire avoir sur les sites de faussaires.

En plus çà fait beau, c’est très visuel, çà attire l’œil !

Çà éviterait pleins de tracas

Clochette · Décembre 7, 2022, 7:59pm

Des certificats valide et pas que du let’s encrypt est déjà déployé sur des sites d’arnaqueurs, ce n’est clairement pas une solution miracle.

ZW3B · Décembre 8, 2022, 1:11am

Ding dong, Ding dong, @Clochette nous sonne les cloches

Merci Seigneur

Histoire de répondre : Oui, çà j’en suis sûr.

Résumé

Il faudrait penser et s’faire de « petites » bases de données sur les « professionnels » :

marque, entité, ingénieur, vendeur, commerçant, artisan du domaine, passionnés
fiabilité sur un « nom » de domaine / sur la durabilité / sur le détenteur / sur son âge .
fiabilité de l’adresse IP en rapport à un « nom » de domaine sur la durabilité.
même (bloc) client… - plusieurs serveurs (je ne sais pas trop, n’imagine même pas) / même nom de domaine, même équipe → est-ce de la sous location, est-ce une association, est-ce des serveurs hackés - Qui est « le responsable » du compte client, début combien d’années ?
Est-ce que les différents services connus (http, ftp, smtp) sont protégés (HTTPS, DNSSEC, DANE, DMARK, BIMI), depuis combien de temps / (sur) / depuis combien de temps ces protocole exploitable.
Et, sur ces serveurs, y’a t’il d’autres services moins connus - Mubble, TS, Counter-Strike, IRC qui modère çà… ?

Mais tout çà de loin (sans rentrer dans les machines) - ce serait trop simple et interdit sans mandat express (je crois « néanmoins » que cette loi à changer depuis les successions d’attentats t.e.r.r.o.r.i.s.t.e.s qui autorisent les autorités à pénétrer dans nos machines s’ils ont des soupçons, ou des indices qui « v.n.ous » relierais avec une/des cellules criminelles).

Il y a des informations qui doivent rester privées (dossier médical) et d’autres moins - J’ai envie d’ajouter (pour pas que vous me preniez (trop) pour un connard) que lorsqu’on créait un site internet on est dans l’obligation d’écrire notre nom, dénomination (pas d’obligation sur sa photo personnelle), l’adresse et les coordonnées de l’hébergeur, des conditions d’utilisations, de la sécurité des données stockées par les « utilisateurs/utilisatrices » sur nos sites Web. Je comprend bien, le risque qu’un autre hébergeur ait accès au nom de mon hébergeur - qui pourrait « vouloir » essayer de m’orienter vers lui (ce ne sont pas des dealers, criminels de quartiers, quand même). On est professionnels, on aime nos métiers, ce que nous créons et on est fier d’afficher ce que l’on a fait. On est fière de nos Vies, de ce qu’on a entreprit et de ce que l’on va entreprendre.

Ce sont les lois internationales et plus particulièrement EUropeénne pour les résidents Européen, que mon serveur soit en EU ou autre part sur Terre - C’est une faute, de mentir - et surtout sur des formulaires (qui soulignent, qu’on doit certifier sur l’exactitude des données remplis en tant que client d’un service, j’ajoute service payant).

C’est pour cela que, les règles de l’« International Network » (sur la protection de données et de l’intellect) ne sont pas soumises, ne sont pas réfléchis seulement par la CNIL (pour les Européens).

Et qu’en temps que propriétaire de nom de domaine, la préconisation est d’enregistrer son nom de domaine à la CNIL (pour certifier à nos « utilisateurs/utilisatrices » que nous sécurisons leurs données) et « surtout » se sentir moins seul au cas où l’on devrait remonter l’information (nous administrateurs/administratrices, modérateurs/modératrices) sur une plainte d’un utilisateur, sur des faits grave et non conforme à l’intellect, au non respect, au harcèlement, pour que, cela ne se reproduise pas.
Ils, la CNIL contacteraient les autorités compétentes (la police national pour la France, si les faits de harcèlements seraient, pourraient, être localisé dans la Vie réelle aussi et/ou sur d’autres sites Web, d’autres localités, selon le rythme de vie des parties et d’autres personnes).
La CNIL (pour l’EUrope) est une plateforme que permet la liaison entre les différents pays et contre la cyber-criminalité (je ne parle pas de hackers, plutôt, de sales connards, d’harceleurs/d’harceleuses), et pour la sécurité/stabilité/paisibilité, de chacune de nos Vies. Eux, qui auraient des contacts avec des « administrateurs, techniciens » du réseau informatique mondial et pourraient mettre en relation les « polices » concernées de chaque pays/départements etc.

Pour que si, une personne demande à un admin de sites/forums d’un fait de harcèlement répétitif et que l’admin (gestionnaire/responsable) du sites remontent l’infos « avec les données qu’il a », que la CNIL, stockent ces données (pseudo, IP etc), ces faits avec lesquels ils pourraient croisés avec d’autres/leurs bases (en vérifiant si cela s’est déjà produit, s’il y a d’autres plaintes « web » autre part si çà leur fait penser à un profil) ET surtout si cela en arriver à descendre jusque à un commissariat, si la personne porterait plainte qu’il y ait déjà des informations exploitables.

L’admin/gestionnaire de sites/forums est bien entendu maître de remonter ou non l’information selon la gravité de la situation - C’est tout simple - Çà peut être un formulaire « réservé » au propriétaire de sites/forums, pour contacter « le » service de dépôts de plaintes « d’utilisateurs » de son forum (Ah, mais qui gère les réseaux sociaux, bon on oublie les réseaux sociaux ). Les réseaux sociaux, devront travailler avec la CNIL

Un peu comme ce lien / ce formulaire → PHAROS : Portail officiel de signalement de contenus illicites de l’InterNet - Signaler un contenu illicite de l’internet.

Ils y des gens qui se permettent tout et n’importe quoi - Et c’est une honte de laisser passer çà.

Désolé - d’être aussi « strict » mais je me suis beaucoup fait avoir, usurpé ma Vie, mon identité, mon travail et bien plus, voler des Vies.

Sinon,

Qu’est ce qu’il y a comme protections « contre l’usurpation » de services interNet ?

Salutations,
Romain

Bonne soirée à vous, mesdames, messieurs et les jeunes.sss

ZW3B · Février 2, 2023, 2:21pm

Bonjour.

J’ai une erreur sur avec le plugin Plugin FireFox « DNSSEC/DANE Validator (Validate DNSSEC & DANE using DoH) » - Je ne pense pas que cela vient de la configuration de mon nouveau site :

Cf :

root@lv1.w1a:~ # echo $(echo | openssl s_client -servername zw3b.eu -connect zw3b.eu:443 -verify_quiet | openssl x509 -noout -fingerprint -sha256) | tr -d :
SHA256 Fingerprint=EA7DFAA279ACFF85682766DD4DDABBD47A156EE5C144878918B1CD2779A31C98

root@lv1.w1a:~ # dig TLSA _443._tcp.zw3b.eu @dns.google +short
3 0 1 EA7DFAA279ACFF85682766DD4DDABBD47A156EE5C144878918B1CD27 79A31C98

En même temps çà me permet de vous montrer cette nouvelle interface que je viens de faire Et de faire un peu de communication ici pour l’ITC de mars de Cannes, France.

Note de Moi-même - Peut-être est-ce lié à :

Errors (1) → zw3b.eu | DNSViz

eu zone: The server(s) were not responsive to queries over UDP. (2001:978:2:1::93:2)

Salutations et bonne journée à vous,
Romain

ZW3B · Mars 6, 2024, 11:27pm

En fait, il faut un certificat VMC (Verified Mark Certificates), comme pour BiMi (Brand Indicators for Message Identification).

Sinon, j’ai fais un script acme-certif-date_verification.bash ici pour mettre à jour mes certificats TLS Let’Encrypt entre mes serveurs, ainsi que le champ TLSA des certificats « web » → « _443._tcp.vhost.domain.tld » et « mail » → « _25._tcp.vhost.domain.tld » par « nsupdate ».

Je souhaiterais si quelqu’un peut m’aider « optimiser » ; « refaire cette ligne » :

decalre -a tab=("DNS:domain.tld" "DNS:*.domain.tld")

for (( i=0 ; i<${#tab[*]} ; i++ )) ; do

  # Au debut j'ai fait çà, vu que c'était en exemple (dans le code) - je ne créait pas de RRset TLSA avec la signature du nouveau certificat (si le subjectAltname est/était un wilcard "*.domain.tld"  :
  #ntab[$i]=$(echo ${tab[$i]} | awk 'BEGIN { FS = ":" }; { if($2 !~ /\*/ ) print $2 }')
  # Par contre (je souhaietais afficher "www.domain.tld" à la place de l'étoile. 
  ntab[$i]=$(echo ${tab[$i]} | awk 'BEGIN { FS = ":" }; { if($2 !~ /\*/ ) print $2; else print $2 }')
  ntab[$i]=$(echo ${ntab[$i]} | sed -e "s/\*/www/g")

done

çà fonctionne mais je trouve cette « ligne » de code toute moche, qui peut m’en sortir une belle ?

Ci-dessous le script acme-certif-date_verification.bash :

#!/bin/bash
#-----------------------------------
# Checking certificates SSL date expiration
#-----------------------------------
# Author : O.Romain.Jaillet-ramey (orj AT lab3w DOT fr)
# Date created : 20221201
# Date modified : 20231222
#-----------------------------------

key_file="/root/Knsupdate-key-zone.+157+09852.private"
maj_nsupdate=0

dir_certs="/root/acme/data/"
#dir_certs="/etc/ssl/letsencrypt/"

domains="lab3w.fr zw3b.fr zw3b.tv zw3b.site zw3b.com zw3b.net zw3b.blog zw3b.eu ipv10.net mail.zw3b.eu"
#domains="lab3w.lan"

#------------------------------------------------------------------------------------------------------
for domain in ${domains}; do

#       expiryDate="$(echo $(date -d "$(echo | openssl s_client -servername ${domain} -connect ${domain}:443 -verify_quiet | openssl x509 -enddate -noout | awk -F= '{print $2}')"))"
        expiryDate="$(echo $(date -d "$(echo | openssl x509 -in ${dir_certs}${domain}_ecc/${domain}.cer -enddate -noout | awk -F= '{print $2}')"))"

#       expiryDays=$(( ($(date -d "$(echo | openssl s_client -servername ${domain} -connect ${domain}:443 -verify_quiet | openssl x509 -enddate -noout | awk -F= '{print $2}')" '+%s') - $(date '+%s')) / 86400 ))
        expiryDays=$(( ($(date -d "$(echo | openssl x509 -in ${dir_certs}${domain}_ecc/${domain}.cer -enddate -noout | awk -F= '{print $2}')" '+%s') - $(date '+%s')) / 86400 ))

        renewDay=$(($expiryDays - 30))

        subjectAltName=$(echo | openssl x509 -noout -ext subjectAltName -in ${dir_certs}${domain}_ecc/${domain}.cer | grep DNS | tr -d [:blank:])
#       subjectAltName=$(echo | openssl s_client -servername ${domain} -connect ${domain}:443 -verify_quiet | openssl x509 -noout -ext subjectAltName -noout | grep DNS | tr -d [:blank:])

        signature_certif=$(openssl x509 -noout -fingerprint -sha256 < ${dir_certs}${domain}_ecc/${domain}.cer | tr -d : | cut -d"=" -f2)
        signature_ondns=$(dig TLSA _443._tcp.${domain} @dns.google +short | awk {'print $4$5'})


        old="$IFS"
        IFS=","
        tab=( $subjectAltName )
        IFS="$old"


        echo "#-----------------------------------"
        echo "Domain : ${domain}"
        echo "#----------"
        echo ""
        echo "Certificats SSL expiration date : ${expiryDate}"
        echo "Certificats SSL expiration days : ${expiryDays}"
#       echo "Subject Alt Names : ${subjectAltName}"
        echo ""
        echo "Subject Alt Names :"
        echo " \ "
        for (( i=0 ; i<${#tab[*]} ; i++ )) ; do
                echo "  +-> "${tab[$i]}
        done
        echo ""
        echo "Certificat Signature check :"
        echo " \ "
        echo "  +-" ${signature_certif} "-> Certificat signature"
        if [ -n "${signature_ondns}" ]
        then
                echo "  +-" ${signature_ondns} "-> Signature on DNS RR TLSA"
        fi
        if [ -z "${signature_ondns}" ]
        then
                echo "   \ "
                echo "    +--> NO DNS RR TLSA (DANE)"
        fi
        if [ "${signature_certif}" = "${signature_ondns}" ]
        then
                echo "   \ "
                echo "    +--> DNS RR TLSA (DANE) on Cerfificat Signature - OK"
        fi
        if [ "${signature_certif}" != "${signature_ondns}" ] && [ -n "${signature_ondns}" ]
        then
                echo "   \ "
                echo "    +--> DNS RR TLSA (DANE) on Cerfificat Signature - NO OK"
                echo "     \ "
                echo "      +--> Update your DNS RR TLSA (DANE) with \"nsupdate\" command"
                echo "      |"
                echo "      | ; example"
                echo "      | server dns.ipv10.net"
                echo "      | ;"

                for (( i=0 ; i<${#tab[*]} ; i++ )) ; do
#                       ntab[$i]=$(echo ${tab[$i]} | awk 'BEGIN { FS = ":" }; { if($2 !~ /\*/ ) print $2 }')
                        ntab[$i]=$(echo ${tab[$i]} | awk 'BEGIN { FS = ":" }; { print $2 }')
                        dtab[$i]=$(echo ${ntab[$i]} | awk 'BEGIN { FS="."} { print $(NF-1)"."$(NF); }')
                        ntab[$i]=$(echo ${ntab[$i]} | sed -e "s/\*/www/g")

                        if [ "${ntab[$i]}" != "" ]
                        then
                                if [[ "${ntab[$i]}" =~ .*"${dtab[$i]}".* ]]; then
                                        echo "      | ; MAJ FOR WEB"
                                        echo "      | zone ${dtab[$i]}"
                                        echo "      | ; DANE RRset TLSA HTTP Secure"
                                        echo "      | update del _443._tcp.${ntab[$i]}. 3600 TLSA"
                                        echo "      | update add _443._tcp.${ntab[$i]}. 3600 TLSA 3 0 1 ${signature_certif}"
                                        echo "      | send"
                                        echo "      |"
                                fi

                                if [[ "${domain}" == "mail.zw3b.eu" ]] && [[ "${ntab[$i]}" =~ .*"${dtab[$i]}".* ]]; then
                                        if [[ "${ntab[$i]}" =~ .*"smtp".* ]]; then
                                                echo "      | ; MAJ FOR MX"
                                                echo "      | zone ${dtab[$i]}"
                                                echo "      | ; DANE RRset TLSA SMTP"
                                                echo "      | update del _25._tcp.${ntab[$i]}. 3600 TLSA"
                                                echo "      | update add _25._tcp.${ntab[$i]}. 3600 TLSA 3 0 1 ${signature_certif}"
                                                echo "      | ; DANE RRset TLSA SMTP Secure"
                                                echo "      | update del _465._tcp.${ntab[$i]}. 3600 TLSA"
                                                echo "      | update add _465._tcp.${ntab[$i]}. 3600 TLSA 3 0 1 ${signature_certif}"
                                                echo "      | ; DANE RRset TLSA SMTP Submission"
                                                echo "      | update del _587._tcp.${ntab[$i]}. 3600 TLSA"
                                                echo "      | update add _587._tcp.${ntab[$i]}. 3600 TLSA 3 0 1 ${signature_certif}"
                                                echo "      | send"
                                                echo "      |"
                                        fi
                                fi
                        fi
                done
                echo "      +------------------------------------"
                echo ""


                #--------------------------------
                if [ "${maj_nsupdate}" -eq 1 ]
                then
                (
                echo ";----------------------------------"
                echo "; MAJ NSUPDATE...."
                echo ";-------"
                echo "server dns.ipv10.net"
                echo ";-------"
                echo ""
                for (( i=0 ; i<${#tab[*]} ; i++ )) ; do
#                       ntab[$i]=$(echo ${tab[$i]} | awk 'BEGIN { FS = ":" }; { if($2 !~ /\*/ ) print $2 }')
                        ntab[$i]=$(echo ${tab[$i]} | awk 'BEGIN { FS = ":" }; { print $2 }')
                        dtab[$i]=$(echo ${ntab[$i]} | awk 'BEGIN { FS="."} { print $(NF-1)"."$(NF); }')
                        ntab[$i]=$(echo ${ntab[$i]} | sed -e "s/\*/www/g")

                        if [ "${ntab[$i]}" != "" ]
                        then
                                if [[ "${ntab[$i]}" =~ .*"${dtab[$i]}".* ]]; then
                                        echo "; MAJ FOR WEB"
                                        echo "zone ${dtab[$i]}"
                                        echo "; DANE RRset TLSA HTTP Secure"
                                        echo "update del _443._tcp.${ntab[$i]}. 3600 TLSA"
                                        echo "update add _443._tcp.${ntab[$i]}. 3600 TLSA 3 0 1 ${signature_certif}"
                                        echo "send"
                                        echo ""
                                fi

                                if [[ "${domain}" == "mail.zw3b.eu" ]] && [[ "${ntab[$i]}" =~ .*"${dtab[$i]}".* ]]; then
                                        if [[ "${ntab[$i]}" =~ .*"smtp".* ]]; then
                                                echo "; MAJ FOR MX"
                                                echo "zone ${dtab[$i]}"
                                                echo "; DANE RRset TLSA SMTP"
                                                echo "update del _25._tcp.${ntab[$i]}. 3600 TLSA"
                                                echo "update add _25._tcp.${ntab[$i]}. 3600 TLSA 3 0 1 ${signature_certif}"
                                                echo "; DANE RRset TLSA SMTP Secure"
                                                echo "update del _465._tcp.${ntab[$i]}. 3600 TLSA"
                                                echo "update add _465._tcp.${ntab[$i]}. 3600 TLSA 3 0 1 ${signature_certif}"
                                                echo "; DANE RRset TLSA SMTP Submission"
                                                echo "update del _587._tcp.${ntab[$i]}. 3600 TLSA"
                                                echo "update add _587._tcp.${ntab[$i]}. 3600 TLSA 3 0 1 ${signature_certif}"
                                                echo "send"
                                                echo ""
                                        fi
                                fi
                        fi
                done
                echo ";----------------------------------"
                ) #| nsupdate -k ${key_file} -v

                fi
                echo ""
                #--------------------------------

        fi
done

echo "#-----------------------------------"
echo ""

exit 1

20240306 : Le script " `acme-certif-date_verification.bash`" me retourne ce message (pour le serveur mail)

#-----------------------------------
Domain : mail.zw3b.eu
#----------

Certificats SSL expiration date : mardi 4 juin 2024, 11:35:34 (UTC+0200)
Certificats SSL expiration days : 89

Subject Alt Names :
 \ 
  +-> DNS:imap.zw3b.blog
  +-> DNS:imap.zw3b.com
  +-> DNS:imap.zw3b.eu
  +-> DNS:imap.zw3b.fr
  +-> DNS:imap.zw3b.net
  +-> DNS:imap.zw3b.site
  +-> DNS:imap.zw3b.tv
  +-> DNS:mail.zw3b.blog
  +-> DNS:mail.zw3b.com
  +-> DNS:mail.zw3b.eu
  +-> DNS:mail.zw3b.fr
  +-> DNS:mail.zw3b.net
  +-> DNS:mail.zw3b.site
  +-> DNS:mail.zw3b.tv
  +-> DNS:pop.zw3b.blog
  +-> DNS:pop.zw3b.com
  +-> DNS:pop.zw3b.eu
  +-> DNS:pop.zw3b.fr
  +-> DNS:pop.zw3b.net
  +-> DNS:pop.zw3b.site
  +-> DNS:pop.zw3b.tv
  +-> DNS:smtp.zw3b.blog
  +-> DNS:smtp.zw3b.com
  +-> DNS:smtp.zw3b.eu
  +-> DNS:smtp.zw3b.fr
  +-> DNS:smtp.zw3b.net
  +-> DNS:smtp.zw3b.site
  +-> DNS:smtp.zw3b.tv
  +-> DNS:webmail.zw3b.blog
  +-> DNS:webmail.zw3b.com
  +-> DNS:webmail.zw3b.eu
  +-> DNS:webmail.zw3b.fr
  +-> DNS:webmail.zw3b.net
  +-> DNS:webmail.zw3b.site
  +-> DNS:webmail.zw3b.tv

Certificat Signature check :
 \ 
  +- 8E33F2BC2F8726BE8C092D5B5CBABF5B89C6CB29A598ECAF1A97E219F5EC8162 -> Certificat signature
  +- 9A85C108B113C12E6834D10DF05197C34FF10917781B3EB67CBE45575BA79AAC -> Signature on DNS RR TLSA
   \ 
    +--> DNS RR TLSA (DANE) on Cerfificat Signature - NO OK
     \ 
      +--> Update your DNS RR TLSA (DANE) with "nsupdate" command
      |
      | ; example
      | server dns.ipv10.net
      | ;
      | ; MAJ FOR WEB
      | zone zw3b.blog
      | ; DANE RRset TLSA HTTP Secure
      | update del _443._tcp.imap.zw3b.blog. 3600 TLSA
      | update add _443._tcp.imap.zw3b.blog. 3600 TLSA 3 0 1 8E33F2BC2F8726BE8C092D5B5CBABF5B89C6CB29A598ECAF1A97E219F5EC8162
      | send
      |
      | ; MAJ FOR WEB
      | zone zw3b.com
      | ; DANE RRset TLSA HTTP Secure
      | update del _443._tcp.imap.zw3b.com. 3600 TLSA
      | update add _443._tcp.imap.zw3b.com. 3600 TLSA 3 0 1 8E33F2BC2F8726BE8C092D5B5CBABF5B89C6CB29A598ECAF1A97E219F5EC8162
      | send
      |
      | ; MAJ FOR WEB
      | zone zw3b.eu
      | ; DANE RRset TLSA HTTP Secure
      | update del _443._tcp.imap.zw3b.eu. 3600 TLSA
      | update add _443._tcp.imap.zw3b.eu. 3600 TLSA 3 0 1 8E33F2BC2F8726BE8C092D5B5CBABF5B89C6CB29A598ECAF1A97E219F5EC8162
      | send
      |
      | ; MAJ FOR WEB
      | zone zw3b.fr
      | ; DANE RRset TLSA HTTP Secure
      | update del _443._tcp.imap.zw3b.fr. 3600 TLSA
      | update add _443._tcp.imap.zw3b.fr. 3600 TLSA 3 0 1 8E33F2BC2F8726BE8C092D5B5CBABF5B89C6CB29A598ECAF1A97E219F5EC8162
      | send
      |
      | ; MAJ FOR WEB
      | zone zw3b.net
      | ; DANE RRset TLSA HTTP Secure
      | update del _443._tcp.imap.zw3b.net. 3600 TLSA
      | update add _443._tcp.imap.zw3b.net. 3600 TLSA 3 0 1 8E33F2BC2F8726BE8C092D5B5CBABF5B89C6CB29A598ECAF1A97E219F5EC8162
      | send
      |
      | ; MAJ FOR WEB
      | zone zw3b.site
      | ; DANE RRset TLSA HTTP Secure
      | update del _443._tcp.imap.zw3b.site. 3600 TLSA
      | update add _443._tcp.imap.zw3b.site. 3600 TLSA 3 0 1 8E33F2BC2F8726BE8C092D5B5CBABF5B89C6CB29A598ECAF1A97E219F5EC8162
      | send
      |
      | ; MAJ FOR WEB
      | zone zw3b.tv
      | ; DANE RRset TLSA HTTP Secure
      | update del _443._tcp.imap.zw3b.tv. 3600 TLSA
      | update add _443._tcp.imap.zw3b.tv. 3600 TLSA 3 0 1 8E33F2BC2F8726BE8C092D5B5CBABF5B89C6CB29A598ECAF1A97E219F5EC8162
      | send
      |
      | ; MAJ FOR WEB
      | zone zw3b.blog
      | ; DANE RRset TLSA HTTP Secure
      | update del _443._tcp.mail.zw3b.blog. 3600 TLSA
      | update add _443._tcp.mail.zw3b.blog. 3600 TLSA 3 0 1 8E33F2BC2F8726BE8C092D5B5CBABF5B89C6CB29A598ECAF1A97E219F5EC8162
      | send
      |
      | ; MAJ FOR WEB
      | zone zw3b.com
      | ; DANE RRset TLSA HTTP Secure
      | update del _443._tcp.mail.zw3b.com. 3600 TLSA
      | update add _443._tcp.mail.zw3b.com. 3600 TLSA 3 0 1 8E33F2BC2F8726BE8C092D5B5CBABF5B89C6CB29A598ECAF1A97E219F5EC8162
      | send
      |
      | ; MAJ FOR WEB
      | zone zw3b.eu
      | ; DANE RRset TLSA HTTP Secure
      | update del _443._tcp.mail.zw3b.eu. 3600 TLSA
      | update add _443._tcp.mail.zw3b.eu. 3600 TLSA 3 0 1 8E33F2BC2F8726BE8C092D5B5CBABF5B89C6CB29A598ECAF1A97E219F5EC8162
      | send
      |
      | ; MAJ FOR WEB
      | zone zw3b.fr
      | ; DANE RRset TLSA HTTP Secure
      | update del _443._tcp.mail.zw3b.fr. 3600 TLSA
      | update add _443._tcp.mail.zw3b.fr. 3600 TLSA 3 0 1 8E33F2BC2F8726BE8C092D5B5CBABF5B89C6CB29A598ECAF1A97E219F5EC8162
      | send
      |
      | ; MAJ FOR WEB
      | zone zw3b.net
      | ; DANE RRset TLSA HTTP Secure
      | update del _443._tcp.mail.zw3b.net. 3600 TLSA
      | update add _443._tcp.mail.zw3b.net. 3600 TLSA 3 0 1 8E33F2BC2F8726BE8C092D5B5CBABF5B89C6CB29A598ECAF1A97E219F5EC8162
      | send
      |
      | ; MAJ FOR WEB
      | zone zw3b.site
      | ; DANE RRset TLSA HTTP Secure
      | update del _443._tcp.mail.zw3b.site. 3600 TLSA
      | update add _443._tcp.mail.zw3b.site. 3600 TLSA 3 0 1 8E33F2BC2F8726BE8C092D5B5CBABF5B89C6CB29A598ECAF1A97E219F5EC8162
      | send
      |
      | ; MAJ FOR WEB
      | zone zw3b.tv
      | ; DANE RRset TLSA HTTP Secure
      | update del _443._tcp.mail.zw3b.tv. 3600 TLSA
      | update add _443._tcp.mail.zw3b.tv. 3600 TLSA 3 0 1 8E33F2BC2F8726BE8C092D5B5CBABF5B89C6CB29A598ECAF1A97E219F5EC8162
      | send
      |
      | ; MAJ FOR WEB
      | zone zw3b.blog
      | ; DANE RRset TLSA HTTP Secure
      | update del _443._tcp.pop.zw3b.blog. 3600 TLSA
      | update add _443._tcp.pop.zw3b.blog. 3600 TLSA 3 0 1 8E33F2BC2F8726BE8C092D5B5CBABF5B89C6CB29A598ECAF1A97E219F5EC8162
      | send
      |
      | ; MAJ FOR WEB
      | zone zw3b.com
      | ; DANE RRset TLSA HTTP Secure
      | update del _443._tcp.pop.zw3b.com. 3600 TLSA
      | update add _443._tcp.pop.zw3b.com. 3600 TLSA 3 0 1 8E33F2BC2F8726BE8C092D5B5CBABF5B89C6CB29A598ECAF1A97E219F5EC8162
      | send
      |
      | ; MAJ FOR WEB
      | zone zw3b.eu
      | ; DANE RRset TLSA HTTP Secure
      | update del _443._tcp.pop.zw3b.eu. 3600 TLSA
      | update add _443._tcp.pop.zw3b.eu. 3600 TLSA 3 0 1 8E33F2BC2F8726BE8C092D5B5CBABF5B89C6CB29A598ECAF1A97E219F5EC8162
      | send
      |
      | ; MAJ FOR WEB
      | zone zw3b.fr
      | ; DANE RRset TLSA HTTP Secure
      | update del _443._tcp.pop.zw3b.fr. 3600 TLSA
      | update add _443._tcp.pop.zw3b.fr. 3600 TLSA 3 0 1 8E33F2BC2F8726BE8C092D5B5CBABF5B89C6CB29A598ECAF1A97E219F5EC8162
      | send
      |
      | ; MAJ FOR WEB
      | zone zw3b.net
      | ; DANE RRset TLSA HTTP Secure
      | update del _443._tcp.pop.zw3b.net. 3600 TLSA
      | update add _443._tcp.pop.zw3b.net. 3600 TLSA 3 0 1 8E33F2BC2F8726BE8C092D5B5CBABF5B89C6CB29A598ECAF1A97E219F5EC8162
      | send
      |
      | ; MAJ FOR WEB
      | zone zw3b.site
      | ; DANE RRset TLSA HTTP Secure
      | update del _443._tcp.pop.zw3b.site. 3600 TLSA
      | update add _443._tcp.pop.zw3b.site. 3600 TLSA 3 0 1 8E33F2BC2F8726BE8C092D5B5CBABF5B89C6CB29A598ECAF1A97E219F5EC8162
      | send
      |
      | ; MAJ FOR WEB
      | zone zw3b.tv
      | ; DANE RRset TLSA HTTP Secure
      | update del _443._tcp.pop.zw3b.tv. 3600 TLSA
      | update add _443._tcp.pop.zw3b.tv. 3600 TLSA 3 0 1 8E33F2BC2F8726BE8C092D5B5CBABF5B89C6CB29A598ECAF1A97E219F5EC8162
      | send
      |
      | ; MAJ FOR WEB
      | zone zw3b.blog
      | ; DANE RRset TLSA HTTP Secure
      | update del _443._tcp.smtp.zw3b.blog. 3600 TLSA
      | update add _443._tcp.smtp.zw3b.blog. 3600 TLSA 3 0 1 8E33F2BC2F8726BE8C092D5B5CBABF5B89C6CB29A598ECAF1A97E219F5EC8162
      | send
      |
      | ; MAJ FOR MX
      | zone zw3b.blog
      | ; DANE RRset TLSA SMTP
      | update del _25._tcp.smtp.zw3b.blog. 3600 TLSA
      | update add _25._tcp.smtp.zw3b.blog. 3600 TLSA 3 0 1 8E33F2BC2F8726BE8C092D5B5CBABF5B89C6CB29A598ECAF1A97E219F5EC8162
      | ; DANE RRset TLSA SMTP Secure
      | update del _465._tcp.smtp.zw3b.blog. 3600 TLSA
      | update add _465._tcp.smtp.zw3b.blog. 3600 TLSA 3 0 1 8E33F2BC2F8726BE8C092D5B5CBABF5B89C6CB29A598ECAF1A97E219F5EC8162
      | ; DANE RRset TLSA SMTP Submission
      | update del _587._tcp.smtp.zw3b.blog. 3600 TLSA
      | update add _587._tcp.smtp.zw3b.blog. 3600 TLSA 3 0 1 8E33F2BC2F8726BE8C092D5B5CBABF5B89C6CB29A598ECAF1A97E219F5EC8162
      | send
      |
      | ; MAJ FOR WEB
      | zone zw3b.com
      | ; DANE RRset TLSA HTTP Secure
      | update del _443._tcp.smtp.zw3b.com. 3600 TLSA
      | update add _443._tcp.smtp.zw3b.com. 3600 TLSA 3 0 1 8E33F2BC2F8726BE8C092D5B5CBABF5B89C6CB29A598ECAF1A97E219F5EC8162
      | send
      |
      | ; MAJ FOR MX
      | zone zw3b.com
      | ; DANE RRset TLSA SMTP
      | update del _25._tcp.smtp.zw3b.com. 3600 TLSA
      | update add _25._tcp.smtp.zw3b.com. 3600 TLSA 3 0 1 8E33F2BC2F8726BE8C092D5B5CBABF5B89C6CB29A598ECAF1A97E219F5EC8162
      | ; DANE RRset TLSA SMTP Secure
      | update del _465._tcp.smtp.zw3b.com. 3600 TLSA
      | update add _465._tcp.smtp.zw3b.com. 3600 TLSA 3 0 1 8E33F2BC2F8726BE8C092D5B5CBABF5B89C6CB29A598ECAF1A97E219F5EC8162
      | ; DANE RRset TLSA SMTP Submission
      | update del _587._tcp.smtp.zw3b.com. 3600 TLSA
      | update add _587._tcp.smtp.zw3b.com. 3600 TLSA 3 0 1 8E33F2BC2F8726BE8C092D5B5CBABF5B89C6CB29A598ECAF1A97E219F5EC8162
      | send
      |
      | ; MAJ FOR WEB
      | zone zw3b.eu
      | ; DANE RRset TLSA HTTP Secure
      | update del _443._tcp.smtp.zw3b.eu. 3600 TLSA
      | update add _443._tcp.smtp.zw3b.eu. 3600 TLSA 3 0 1 8E33F2BC2F8726BE8C092D5B5CBABF5B89C6CB29A598ECAF1A97E219F5EC8162
      | send
      |
      | ; MAJ FOR MX
      | zone zw3b.eu
      | ; DANE RRset TLSA SMTP
      | update del _25._tcp.smtp.zw3b.eu. 3600 TLSA
      | update add _25._tcp.smtp.zw3b.eu. 3600 TLSA 3 0 1 8E33F2BC2F8726BE8C092D5B5CBABF5B89C6CB29A598ECAF1A97E219F5EC8162
      | ; DANE RRset TLSA SMTP Secure
      | update del _465._tcp.smtp.zw3b.eu. 3600 TLSA
      | update add _465._tcp.smtp.zw3b.eu. 3600 TLSA 3 0 1 8E33F2BC2F8726BE8C092D5B5CBABF5B89C6CB29A598ECAF1A97E219F5EC8162
      | ; DANE RRset TLSA SMTP Submission
      | update del _587._tcp.smtp.zw3b.eu. 3600 TLSA
      | update add _587._tcp.smtp.zw3b.eu. 3600 TLSA 3 0 1 8E33F2BC2F8726BE8C092D5B5CBABF5B89C6CB29A598ECAF1A97E219F5EC8162
      | send
      |
      | ; MAJ FOR WEB
      | zone zw3b.fr
      | ; DANE RRset TLSA HTTP Secure
      | update del _443._tcp.smtp.zw3b.fr. 3600 TLSA
      | update add _443._tcp.smtp.zw3b.fr. 3600 TLSA 3 0 1 8E33F2BC2F8726BE8C092D5B5CBABF5B89C6CB29A598ECAF1A97E219F5EC8162
      | send
      |
      | ; MAJ FOR MX
      | zone zw3b.fr
      | ; DANE RRset TLSA SMTP
      | update del _25._tcp.smtp.zw3b.fr. 3600 TLSA
      | update add _25._tcp.smtp.zw3b.fr. 3600 TLSA 3 0 1 8E33F2BC2F8726BE8C092D5B5CBABF5B89C6CB29A598ECAF1A97E219F5EC8162
      | ; DANE RRset TLSA SMTP Secure
      | update del _465._tcp.smtp.zw3b.fr. 3600 TLSA
      | update add _465._tcp.smtp.zw3b.fr. 3600 TLSA 3 0 1 8E33F2BC2F8726BE8C092D5B5CBABF5B89C6CB29A598ECAF1A97E219F5EC8162
      | ; DANE RRset TLSA SMTP Submission
      | update del _587._tcp.smtp.zw3b.fr. 3600 TLSA
      | update add _587._tcp.smtp.zw3b.fr. 3600 TLSA 3 0 1 8E33F2BC2F8726BE8C092D5B5CBABF5B89C6CB29A598ECAF1A97E219F5EC8162
      | send
      |
      | ; MAJ FOR WEB
      | zone zw3b.net
      | ; DANE RRset TLSA HTTP Secure
      | update del _443._tcp.smtp.zw3b.net. 3600 TLSA
      | update add _443._tcp.smtp.zw3b.net. 3600 TLSA 3 0 1 8E33F2BC2F8726BE8C092D5B5CBABF5B89C6CB29A598ECAF1A97E219F5EC8162
      | send
      |
      | ; MAJ FOR MX
      | zone zw3b.net
      | ; DANE RRset TLSA SMTP
      | update del _25._tcp.smtp.zw3b.net. 3600 TLSA
      | update add _25._tcp.smtp.zw3b.net. 3600 TLSA 3 0 1 8E33F2BC2F8726BE8C092D5B5CBABF5B89C6CB29A598ECAF1A97E219F5EC8162
      | ; DANE RRset TLSA SMTP Secure
      | update del _465._tcp.smtp.zw3b.net. 3600 TLSA
      | update add _465._tcp.smtp.zw3b.net. 3600 TLSA 3 0 1 8E33F2BC2F8726BE8C092D5B5CBABF5B89C6CB29A598ECAF1A97E219F5EC8162
      | ; DANE RRset TLSA SMTP Submission
      | update del _587._tcp.smtp.zw3b.net. 3600 TLSA
      | update add _587._tcp.smtp.zw3b.net. 3600 TLSA 3 0 1 8E33F2BC2F8726BE8C092D5B5CBABF5B89C6CB29A598ECAF1A97E219F5EC8162
      | send
      |
      | ; MAJ FOR WEB
      | zone zw3b.site
      | ; DANE RRset TLSA HTTP Secure
      | update del _443._tcp.smtp.zw3b.site. 3600 TLSA
      | update add _443._tcp.smtp.zw3b.site. 3600 TLSA 3 0 1 8E33F2BC2F8726BE8C092D5B5CBABF5B89C6CB29A598ECAF1A97E219F5EC8162
      | send
      |
      | ; MAJ FOR MX
      | zone zw3b.site
      | ; DANE RRset TLSA SMTP
      | update del _25._tcp.smtp.zw3b.site. 3600 TLSA
      | update add _25._tcp.smtp.zw3b.site. 3600 TLSA 3 0 1 8E33F2BC2F8726BE8C092D5B5CBABF5B89C6CB29A598ECAF1A97E219F5EC8162
      | ; DANE RRset TLSA SMTP Secure
      | update del _465._tcp.smtp.zw3b.site. 3600 TLSA
      | update add _465._tcp.smtp.zw3b.site. 3600 TLSA 3 0 1 8E33F2BC2F8726BE8C092D5B5CBABF5B89C6CB29A598ECAF1A97E219F5EC8162
      | ; DANE RRset TLSA SMTP Submission
      | update del _587._tcp.smtp.zw3b.site. 3600 TLSA
      | update add _587._tcp.smtp.zw3b.site. 3600 TLSA 3 0 1 8E33F2BC2F8726BE8C092D5B5CBABF5B89C6CB29A598ECAF1A97E219F5EC8162
      | send
      |
      | ; MAJ FOR WEB
      | zone zw3b.tv
      | ; DANE RRset TLSA HTTP Secure
      | update del _443._tcp.smtp.zw3b.tv. 3600 TLSA
      | update add _443._tcp.smtp.zw3b.tv. 3600 TLSA 3 0 1 8E33F2BC2F8726BE8C092D5B5CBABF5B89C6CB29A598ECAF1A97E219F5EC8162
      | send
      |
      | ; MAJ FOR MX
      | zone zw3b.tv
      | ; DANE RRset TLSA SMTP
      | update del _25._tcp.smtp.zw3b.tv. 3600 TLSA
      | update add _25._tcp.smtp.zw3b.tv. 3600 TLSA 3 0 1 8E33F2BC2F8726BE8C092D5B5CBABF5B89C6CB29A598ECAF1A97E219F5EC8162
      | ; DANE RRset TLSA SMTP Secure
      | update del _465._tcp.smtp.zw3b.tv. 3600 TLSA
      | update add _465._tcp.smtp.zw3b.tv. 3600 TLSA 3 0 1 8E33F2BC2F8726BE8C092D5B5CBABF5B89C6CB29A598ECAF1A97E219F5EC8162
      | ; DANE RRset TLSA SMTP Submission
      | update del _587._tcp.smtp.zw3b.tv. 3600 TLSA
      | update add _587._tcp.smtp.zw3b.tv. 3600 TLSA 3 0 1 8E33F2BC2F8726BE8C092D5B5CBABF5B89C6CB29A598ECAF1A97E219F5EC8162
      | send
      |
      | ; MAJ FOR WEB
      | zone zw3b.blog
      | ; DANE RRset TLSA HTTP Secure
      | update del _443._tcp.webmail.zw3b.blog. 3600 TLSA
      | update add _443._tcp.webmail.zw3b.blog. 3600 TLSA 3 0 1 8E33F2BC2F8726BE8C092D5B5CBABF5B89C6CB29A598ECAF1A97E219F5EC8162
      | send
      |
      | ; MAJ FOR WEB
      | zone zw3b.com
      | ; DANE RRset TLSA HTTP Secure
      | update del _443._tcp.webmail.zw3b.com. 3600 TLSA
      | update add _443._tcp.webmail.zw3b.com. 3600 TLSA 3 0 1 8E33F2BC2F8726BE8C092D5B5CBABF5B89C6CB29A598ECAF1A97E219F5EC8162
      | send
      |
      | ; MAJ FOR WEB
      | zone zw3b.eu
      | ; DANE RRset TLSA HTTP Secure
      | update del _443._tcp.webmail.zw3b.eu. 3600 TLSA
      | update add _443._tcp.webmail.zw3b.eu. 3600 TLSA 3 0 1 8E33F2BC2F8726BE8C092D5B5CBABF5B89C6CB29A598ECAF1A97E219F5EC8162
      | send
      |
      | ; MAJ FOR WEB
      | zone zw3b.fr
      | ; DANE RRset TLSA HTTP Secure
      | update del _443._tcp.webmail.zw3b.fr. 3600 TLSA
      | update add _443._tcp.webmail.zw3b.fr. 3600 TLSA 3 0 1 8E33F2BC2F8726BE8C092D5B5CBABF5B89C6CB29A598ECAF1A97E219F5EC8162
      | send
      |
      | ; MAJ FOR WEB
      | zone zw3b.net
      | ; DANE RRset TLSA HTTP Secure
      | update del _443._tcp.webmail.zw3b.net. 3600 TLSA
      | update add _443._tcp.webmail.zw3b.net. 3600 TLSA 3 0 1 8E33F2BC2F8726BE8C092D5B5CBABF5B89C6CB29A598ECAF1A97E219F5EC8162
      | send
      |
      | ; MAJ FOR WEB
      | zone zw3b.site
      | ; DANE RRset TLSA HTTP Secure
      | update del _443._tcp.webmail.zw3b.site. 3600 TLSA
      | update add _443._tcp.webmail.zw3b.site. 3600 TLSA 3 0 1 8E33F2BC2F8726BE8C092D5B5CBABF5B89C6CB29A598ECAF1A97E219F5EC8162
      | send
      |
      | ; MAJ FOR WEB
      | zone zw3b.tv
      | ; DANE RRset TLSA HTTP Secure
      | update del _443._tcp.webmail.zw3b.tv. 3600 TLSA
      | update add _443._tcp.webmail.zw3b.tv. 3600 TLSA 3 0 1 8E33F2BC2F8726BE8C092D5B5CBABF5B89C6CB29A598ECAF1A97E219F5EC8162
      | send
      |
      +------------------------------------

20240306 : J'ajoute en caché la method pour utiliser et mettre à jour les certificats Let-Encrypt dans le serveur mail Zimbra, par exemple..

server_ou_ya_acme $ wget -O /root/ISRG-X1.pem https://letsencrypt.org/certs/isrgrootx1.pem.txt
server_ou_ya_acme $ cat /root/ISRG-X1.pem | tee -a  /root/acme/data/mail.zw3b.eu_ecc/fullchain.cer
server_ou_ya_acme $ rsync -av -e ssh /root/acme/data/mail.zw3b.eu_ecc/ root@server_zimbra:/opt/zimbra/ssl/letsencrypt_ecc/

server_ou_ya_acme $ ssh root@server_zimbra -x "sudo chown zimbra:zimbra /opt/zimbra/ssl/letsencrypt_ecc/mail.zw3b.eu.key"
server_ou_ya_acme $ ssh root@server_zimbra -x "sudo su - zimbra -c '/opt/zimbra/bin/zmcertmgr verifycrt comm /opt/zimbra/ssl/letsencrypt_ecc/mail.zw3b.eu.key /opt/zimbra/ssl/letsencrypt_ecc/mail.zw3b.eu.cer /opt/zimbra/ssl/letsencrypt_ecc/fullchain.cer'"
server_ou_ya_acme $ ssh root@server_zimbra -x "sudo cp /opt/zimbra/ssl/letsencrypt_ecc/mail.zw3b.eu.key /opt/zimbra/ssl/zimbra/commercial/commercial.key"
server_ou_ya_acme $ ssh root@server_zimbra -x "sudo chown zimbra:zimbra /opt/zimbra/ssl/zimbra/commercial/commercial.key"
server_ou_ya_acme $ ssh root@server_zimbra -x "sudo su - zimbra -c '/opt/zimbra/bin/zmcertmgr deploycrt comm /opt/zimbra/ssl/letsencrypt_ecc/mail.zw3b.eu.cer /opt/zimbra/ssl/letsencrypt_ecc/fullchain.cer'"
server_ou_ya_acme $ ssh root@server_zimbra -x "/etc/init.d/zimbra restart"

Note de Moi-même 22/12/2023 : J’ai ajouté au script les RRset TLSA SMTPs en plus ; Et ai fait en sorte qu’il attrape « une » bonne zone, celle du domaine - il me reste, une particularité à prendre en compte ; celle, si c’est le domaine est un DNAME.

J’ai commenté le nsupdate après le « pipe ». Tiens comment on peut appeler le pipe | autrement je ne m’en rappelle jamais.

Merci.
Romain.

Un exemple de mise a jour dynamique par « nsupdate » avec retour d’erreur ici.

ZW3B · Décembre 30, 2023, 1:02am

Bonjour, bonsoir.

Je l’aime bien celle-ci (de config) :

root@lab3w:~ # dig TLSA _443._tcp.internet.nl @dns.ipv10.net

; <<>> DiG 9.11.5-P4-5.1+deb10u9-Debian <<>> TLSA _443._tcp.internet.nl @dns.ipv10.net
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 7993
;; flags: qr rd ra ad; QUERY: 1, ANSWER: 7, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
; COOKIE: 6da95f174ed3bc631b6d7c07658f67bd3598fcd55b9a4aed (good)
;; QUESTION SECTION:
;_443._tcp.internet.nl.         IN      TLSA

;; ANSWER SECTION:
_443._tcp.internet.nl.  3513    IN      CNAME   proloprod._dane.internet.nl.
proloprod._dane.internet.nl. 3513 IN    TLSA    2 1 1 E1AE9C3DE848ECE1BA72E0D991AE4D0D9EC547C6BAD1DDDAB9D6BEB0 A7E0E0D8
proloprod._dane.internet.nl. 3513 IN    TLSA    2 1 1 8D02536C887482BC34FF54E41D2BA659BF85B341A0A20AFADB5813DC FBCF286D
proloprod._dane.internet.nl. 3513 IN    TLSA    3 1 1 D6FEA64D4E68CAEAB7CBB2E0F905D7F3CA3308B12FD88C5B469F08AD 7E05C7C7
proloprod._dane.internet.nl. 3513 IN    TLSA    2 1 1 BD936E72B212EF6F773102C6B77D38F94297322EFC25396BC3279422 E0C89270
proloprod._dane.internet.nl. 3513 IN    TLSA    2 1 1 276FE8A8C4EC7611565BF9FCE6DCACE9BE320C1B5BEA27596B220407 1ED04F10
proloprod._dane.internet.nl. 3513 IN    TLSA    2 1 1 E5545E211347241891C554A03934CDE9B749664A59D26D615FE58F77 990F2D03

;; Query time: 0 msec
;; SERVER: 2607:5300:60:9389:15:1:a:1000#53(2607:5300:60:9389:15:1:a:1000)
;; WHEN: sam. déc. 30 01:43:41 CET 2023
;; MSG SIZE  rcvd: 390

Bonne fêtes de fin d’année !
Good parties of New Year !

Bon réveillon du nouvel an !
Happy new year’s eve !

Résumé

google-translate
google-interpreter

ZW3B · Février 15, 2024, 5:18am

Bonjour.

J’ai un « soucis » avec un plugin FireFox - DNSSEC DANE Validator de Defkev (que j’ai stocké ici).

Il me ressort que mon DANE est failed sur un nom de domaine en DNAME (Alias « complet » de domaine).

Pourtant j’ai la bonne signature sur mon champ TLSA :

root@lb1.w1a:~ # dig TLSA _443._tcp.admin.lab3w.com @dns.google

; <<>> DiG 9.11.5-P4-5.1+deb10u10-Debian <<>> TLSA _443._tcp.admin.lab3w.com @dns.google
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 5614
;; flags: qr rd ra ad; QUERY: 1, ANSWER: 3, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 512
;; QUESTION SECTION:
;_443._tcp.admin.lab3w.com.     IN      TLSA

;; ANSWER SECTION:
lab3w.com.              3600    IN      DNAME   lab3w.fr.
_443._tcp.admin.lab3w.com. 3600 IN      CNAME   _443._tcP.AdmiN.lab3w.fr.
_443._tcP.AdmiN.lab3w.fr. 3600  IN      TLSA    3 0 1 ACC6A3C520F75537E06B593F44FC114A3C3EAF04DB84B10EA60CA0F7

;; Query time: 32 msec
;; SERVER: 2001:4860:4860::8888#53(2001:4860:4860::8888)
;; WHEN: jeu. févr. 15 05:29:20 CET 2024
;; MSG SIZE  rcvd: 157

En interrogeant avec la commande openssl s_client (pour visualiser le certificat depuis n’importe où sur le réseau).

root@lb1.w1a:~ # echo | openssl s_client -servername admin.lab3w.com -connect admin.lab3w.com:443 -verify_quiet | openssl x509 -noout -fingerprint -sha256 | tr -d :
DONE
SHA256 Fingerprint=ACC6A3C520F75537E06B593F44FC114A3C3EAF04DB84B10EA60CA0F7C511D794

Et en local pour le fun, le certif :

root@lb1.w1a:~ # echo | openssl x509 -noout -ext subjectAltName -in /root/acme/data/lab3w.fr_ecc/lab3w.fr.cer | grep DNS | tr -d [:blank:]
DNS:*.lab3w.com,DNS:*.lab3w.fr,DNS:lab3w.com,DNS:lab3w.fr

root@lb1.w1a:~ # openssl x509 -noout -fingerprint -sha256 < /root/acme/data/lab3w.fr_ecc/lab3w.fr.cer | tr -d :
SHA256 Fingerprint=ACC6A3C520F75537E06B593F44FC114A3C3EAF04DB84B10EA60CA0F7C511D794