[gull] HTTPS en home hosting - restreindre la diffusion du certificat X.509

Marc SCHAEFER schaefer at alphanet.ch
Sat Apr 7 20:07:14 CEST 2018 

On Fri, Apr 06, 2018 at 12:24:41PM +0200, Frederic Dumas wrote:
> Je l'avais consulté en lisant ton mail précédent. Mais mon IP n'y faisant
> apparaitre aucun résultat,

Le problème est que je ne sais pas comment ils constituent ces bases de
données, ma supposition est qu'il s'agit de collecte de données (p.ex. via
les moteurs de recherche), suivies de requêtes DNS forward (A/AAAA), avec
utilisation de tous les enregistrements rencontrés (tous les noms de
domaine des serveurs DNS, des serveurs de mail, etc).  Donc une énumération
partielle du DNS.

Le DNS n'est pas `énumérable' en totalité, avec des serveurs DNS
bien configurés, comme tu l'écris:

> Veux-tu dire que ces bases de données sont alimentées par force brute

Ca, je je ne crois pas.  Il y a *peut-être* utilisation de dictionnaires
simples ou d'analogies (domaine populaire toto.com., alors recherche de
toto.$top. pour tous les top domains existants). Il ne faut pas oublier
que ceux qui utilisent ces services de recherche sont justement ceux
qui font du domain parking, pour acquérir du trafic et donc de la
pub.

D'un autre côté, je trouve marrant que certains des domaines que ce
site trouve pour 46.140.72.222 ne sont pas vraiment référencés nul
part. Ce qui me fait penser à une découverte par dictionnaire, mais
je n'en ai pas de preuve.  Il y en a aussi qu'il n'a pas trouvé parmi
ces sites `pas référencés'.

> Nous parlons ici de home hosting. Apache n???y fait tourner que quelques applications web à usage privé. Les domaines dirigeant vers chacun des virtual hosts ne sont donc connus que du DNS faisant autorité, mais non du web en général.

Dans ce cas, il y aura des scannages à partir de l'adresse IP, pour déterminer
les versions des logiciels et alimenter des bases de données comme celle
de http://shodan.io/

Il y aura des tests de vulnérabilités des services (serveur DNS, Web, etc).

Si la page par défaut de http://ton-adresse-ip/ et https://ton-adresse-ip
donne des noms de domaines, ils seront également scannés.

Si tu as bien verrouillé tout cela, y compris le /server-status de ton
Apache, ça devrait être bon.  L'idée de verrouiller le SNI est alors
assez bonne, effectivement.

> J'ai le lointain souvenir qu'au siècle dernier, les DNS étaient ouverts

Oui, tout à fait. Si ton serveur DNS et celui de ton registry n'est pas
énumérable, c'est bon. Les autres bases comme WHOIS ne sont probablement
pas énumérables facilement non plus.

Tant que ton domaine n'est référencé nulle part.  Si tu fais du domain
parking, alors il se peut qu'il soit référencé.

> piste SNI que tu m'as d'abord indiqué.

SNI à titre personnel: non
verrouillage SNI comme proposé: non plus.

Toutefois, il me semble qu'il y a pas mal de tutoriaux pour le SNI, et ensuite
il n'est pas très difficile de tester l'effet de la config comme proposée.

Tu peux toujours revenir ici avec des problèmes concrets concernant la
mise en place.

More information about the gull mailing list