Il semblerait que la commission européenne et les institutions aient décidé de rendre DANE & STARTTLS obligatoires pour le mail dans quelques temps…
\o/
CC @bortzmeyer
@bortzmeyer @keltounet ok, merci de la précision =)
@Keltounet @bortzmeyer ah DANE carrément ? Va y avoir du boulot pour déployer DNSSEC, avec tous les gens qui ont roupillé sur ces sujets jusqu'à ce qu'ils y soient obligés :)
@pb @bortzmeyer @Keltounet
#DANE ? Tout est clair après la lecture de : http://www.bortzmeyer.org/7672.html.
Le renouvellement des clés passe par le bureau d'enregistrement. L'absence de protocole standard serveur DNS -> bureau d'enregistrement pour leurs transmissions (*) et le fait que dans de grosses structures la relation avec le BE est du ressort de la direction de la com ou juridique sont deux freins à l'adoption de #DNSSEC.
(*) heureux si quelqu'un peut me contredire.
@Keltounet @bortzmeyer Une source ?
@tzim @bortzmeyer pas directe pour l'instant, mon chef a une réunion jeudi à ce propos.
@Keltounet @bortzmeyer C'est pour mon chef, qui me sortait récemment qu'avoir mis en place une infra DNSSEC, c'était bien beau, mais que ca servait pas à grand chose ...
@Keltounet @bortzmeyer Sinon, c'est supporté par les MTA ?
Comme elles voulaient pousser ipv6 ? Pas de problème !
@Keltounet @bortzmeyer Nous sommes en train de reconnaitre DANE et STARTTLS pour usage dans l'achat public. Publication J.O. EU prochainement AMHA. Y a beaucoup de gens qui ont supporté tout cela! :)
@Keltounet @bortzmeyer excellente nouvelle !
@Keltounet @bortzmeyer t'as pas une url ?
@Keltounet @bortzmeyer Ca va commencer à vraiment prendre du temps de s'auto-héberger ou alors ça ne concerne pas tout le monde ?
@Courgette @bortzmeyer ça fait un certificat de plus (facile) mais surtout il faut DNSSEC et c'est plus compliqué. Les outils existent comme opendnssec, ça reste jouable. Faut juste pas se rater :)
@Keltounet @bortzmeyer C'est pas tellement la partie DNSSEC qui me fait peur, Knot le gère relativement tout seul.
Surtout la partie coupler ça à LetsEncrypt et ce genre de chose. Ça semble pas impossible, mais faut se remuer le neurone quoi.
@bortzmeyer @Keltounet Il risque tout de même y avoir besoin d'une période de transition, au milieu de la théorie.
@Courgette @bortzmeyer le seul moment où tu peux avoir une interaction entre DANE & DNSSEC, c'est si tu utilises le challenge "dns-01" pour LE sinon, pas besoin, surtout si tu fais du DANE-EE.
@Courgette @bortzmeyer lire entre DNSSEC et LE bien sûr.
@keltounet @bortzmeyer donc DNSSEC aussi ? DANE n'a pas trop d'intérêt sans, si ?