Bonjour,
Je souhaiterais avoir des explications sur NSEC3.
Si je choisis d’utiliser un algorithme de cryptage DNSSEC faut-il que le salage soit cohérent.
Je lisais sur le blog de Stéphane Bortzmeyer ceci :
% dig +short NSEC3PARAM xn--80asehdb 1 0 12 7740536091A63907 ...
Donc, le sel est
7740536091A63907
, l’algorithme de condensation 1 et il faut faire 12 itérations. Calculons ce que ça donne pour l’ apex de la zone :
% nsec3hash 7740536091A63907 1 12 xn--80asehdb 1KJ9H96B2LH023SS088D4SV4FLDBLII8 (salt=7740536091A63907, hash=1, iterations=12)
APEX en informatique :
- Dans le DNS un apex est le sommet d’une zone, là où on trouve les enregistrements NS et SOA. Si la zone ne comprend qu’un domaine, l’apex est ce domaine. Si la zone est plus complexe, l’apex est le domaine le plus court.
- L’entreprise Oracle propose une technologie appelée Oracle Application Express ou APEX.
Infos :
- 3.3.4 Déni d’existence : NSEC ou NSEC3 (PDF)
- Blog Stéphane Bortzmeyer: Un problème DNSSEC : pas assez de NSEC3
- Liste des enregistrements DNS
Donc, faut-il obligatoirement s’aligner sur le domaine plus haut ?
Qu’est-ce que cela signifie → les réponses ci-dessous :
12:03:27 root@lv1.dns:/etc/bind # dig +short NSEC3PARAM xn--80asehdb
1 0 0 -
12:07:49 root@lv1.dns:/etc/bind # dig +short NSEC3PARAM fr
1 0 1 297E821C
12:16:17 root@lv1.dns:/etc/bind # dig +short NSEC3PARAM org
1 0 0 332539EE7F95C32A
12:16:25 root@lv1.dns:/etc/bind # dig +short NSEC3PARAM net
1 0 0 -
12:16:44 root@lv1.dns:/etc/bind # dig +short NSEC3PARAM site
1 0 0 -
12:17:00 root@lv1.dns:/etc/bind # dig +short NSEC3PARAM tv
1 0 0 -
12:17:04 root@lv1.dns:/etc/bind # dig +short NSEC3PARAM com
Je ne comprend pas trop/plus du tout J’aimerais bien comprendre.
J’envoie les commandes du dessous (par rapport au réponse du dessus) → mais à quoi cela peut me servir - de connaitre/demander çà - Je cafouille
12:46:03 root@lv1.dns:/etc/bind # nsec3hash 297E821C 1 1 fr
HSE6LVEAKJI7RI5C4E8A03BFG5HA71AO (salt=297E821C, hash=1, iterations=1)
12:52:01 root@lv1.dns:/etc/bind # nsec3hash 332539EE7F95C32A 1 0 org
GDTPONGMPOK61U9LVNIPQOR8LRA9L4T0 (salt=332539EE7F95C32A, hash=1, iterations=0)
Qui peut m’expliquer vulgairement, rapidement ?
Salutations,
Romain