[gull] HTTPS en home hosting - restreindre la diffusion du certificat X.509

Frederic Dumas f.dumas at siteparc.fr
Fri Apr 6 12:24:41 CEST 2018 

Bonjour Marc,
Bonjour à tous,

Je mets de coté la discussion sur la résolution inverse, qui ne nous concerne pas dans le cas présent. Il n’existe aucun enregistrement PTR pour l’IP considérée.


> Consulte l'exemple:
> 
>    http://viewdns.info/reverseip/?host=46.140.72.222&t=1

Je l’avais consulté en lisant ton mail précédent. Mais mon IP n’y faisant apparaitre aucun résultat, j’y avais trouvé plutôt confirmation qu’un domaine peut rester inconnu à celui qui n’accède au serveur que par sa seule adresse.

Nous parlons ici de home hosting. Apache n’y fait tourner que quelques applications web à usage privé. Les domaines dirigeant vers chacun des virtual hosts ne sont donc connus que du DNS faisant autorité, mais non du web en général.


> En effet, des gens semblent scanner l'ensemble du DNS forward (pas
> reverse) et compiler des bases de données permettant de retrouver
> tous les domaines hébergés sur une adresse IP


C’est une info intéressante (on utilise vraiment beaucoup d’énergie électrique pour atteindre des buts discutables de nos jours).

Veux-tu préciser ce que tu entends par « scanner l’ensemble du DNS forward » ? J’ai le lointain souvenir qu’au siècle dernier, les DNS étaient ouverts, c’est à dire livraient au client qui le leur demandait, la liste complète de tous les champs A pour lesquels ils avaient autorité. Le temps m’a fait oublier les détails, mais surtout, ce fonctionnement a été abandonné je crois, précisément pour éviter que des indiscrets ne reconstruisent un peu trop facilement toute une topologie de réseau. Je suppose donc que tu ne fais pas référence à ça, quand tu utilises le terme « scan ».

Veux-tu dire que ces bases de données sont alimentées par force brute ou par dictionnaire, c’est à dire que pour tout domaine référencé quelque part sur le web, des crawlers testent auprès des DNS toutes les combinaisons imaginables de sous-domaines ? Si tel est le cas, mon IP n’est pas totalement à l’abri de leurs agissements, mais le risque de la voir soudain apparaître sur <viewdns.info> ou similaire me paraît pourtant faible.

J’aimerai donc suivre la piste SNI que tu m’as d’abord indiqué. Avez-vous, toi ou d’autres personnes du Gull, l’expérience de sa mise en oeuvre ?


Merci.

Frédéric.

More information about the gull mailing list