New article shared by frederic
This commit is contained in:
parent
88e983d1ec
commit
8bcdd88810
|
|
@ -0,0 +1,81 @@
|
|||
---
|
||||
layout: post
|
||||
title: "New DNS zone entry specifications with RFC 9460"
|
||||
date: 2023-11-30
|
||||
author: Frédéric
|
||||
image: https://source.unsplash.com/56cd371ee9a7/1920x1920
|
||||
#showtoc: false
|
||||
---
|
||||
|
||||
The Domain Name System (DNS) has reached a milestone with the new RFC 9460 specifications published in early November 2023.
|
||||
Although subtle, these changes improve website optimization and security. One of the most notable changes is the addition of SVCB (Service Binding) and HTTPS record types.
|
||||
|
||||
## What benefits do they bring?
|
||||
|
||||
These new registration types give domain owners greater flexibility and control:
|
||||
|
||||
- **Improved performance:** service parameters can be set to optimize performance for your particular needs.
|
||||
- **Enhanced security:** HTTPS enables advanced security settings and strengthens user protection against online threats.
|
||||
- **Extended compatibility:** they are compatible with existing DNS implementations, facilitating adoption and integration.
|
||||
|
||||
## Use cases and best practices
|
||||
|
||||
Adding these types of registration can be beneficial in several scenarios:
|
||||
|
||||
- **High-traffic websites:** sites with heavy traffic can benefit from specific configurations to improve performance and security.
|
||||
- **Mission-critical software:** the advanced configuration enabled by these registrations enhances access security.
|
||||
|
||||
## How do you write these recordings?
|
||||
|
||||
### 1. SVCB (Service Binding) record
|
||||
|
||||
Declares information about online services.
|
||||
|
||||
**Example:** `example.com. IN SVCB 1 . alpn="h3,h2", ipv4hint="192.0.2.1"`
|
||||
|
||||
- **`example.com.`:** domain name to which the registration is associated. Here "example.com".
|
||||
- **`IN`:** record class, generally IN for Internet.
|
||||
- **`SVCB`:** indicates an SVCB record type.
|
||||
- **`1`:** the first numeric parameter specifies the SVCB entry number. In this example, it is set to 1.
|
||||
- **`alpn="h3,h2"`:** specific to the SVCB type. Here, alpn refers to the list of application negotiation protocols (ALPN) supported for this service, configured to support HTTP/3 (h3) and HTTP/2 (h2) protocols.
|
||||
- **`ipv4hint="192.0.2.1"`:** specifies a suggested IPv4 address for the service. here 192.0.2.1.
|
||||
|
||||
|
||||
### 2. HTTPS record
|
||||
|
||||
Specifies secure connection details for a domain.
|
||||
|
||||
**Example:** `_443._https.example.com. IN HTTPS 1 . alpn="h2", cert="MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA3H6V+aUJ...", target="example.com"`
|
||||
|
||||
- **`_443._https.example.com.`:** Host name where this HTTPS record will be applied. Here, default HTTPS port 443, for the domain "example.com".
|
||||
- **`IN`:** as above, this is the class of the record.
|
||||
- **`HTTPS`:** indicates an HTTPS record type.
|
||||
- **`1`:** HTTPS entry number, similar to the SVCB record.
|
||||
- **`alpn="h2"`:** in this example, the alpn parameter specifies that the supported application negotiation protocol is HTTP/2.
|
||||
- **`cert="MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA3H6V+aUJ..."`:** This cert parameter contains the domain's TLS certificate. Truncated here for length reasons. It would be much longer in real life.
|
||||
- **`target="example.com"`:** the target parameter specifies the name of the server for which this certificate is valid.
|
||||
|
||||
### 3. General best practices
|
||||
|
||||
- **Syntax checking:** make sure records are syntactically correct by using DNS validation tools.
|
||||
- **Detailed documentation:** write precise documentation for added SVCB and HTTPS records, clearly explaining each parameter and its role.
|
||||
- **Specification references:** regularly consult RFC 9460 and other relevant resources to keep abreast of standards and best practices.
|
||||
|
||||
Add and configure SVCB and HTTPS registrations as quickly as possible. You'll optimize your online services and make them more secure for your users.
|
||||
|
||||
## What's the difference with CAA (Certification Authority Authorization)?
|
||||
|
||||
Defined in RFC 8659, CAA registration also increases domain name security.
|
||||
|
||||
### How?
|
||||
|
||||
It specifies which Certification Authorities (CAs) are authorized to issue certificates for a specific domain. In this way, it strengthens control over the SSL/TLS certificates issued for their domain, and prevents malicious substitution.
|
||||
|
||||
### Key differences
|
||||
|
||||
- **Purpose:** SVCB and HTTPS are used to declare information about online services, while CAA is used to specify the certification authorities authorized to issue certificates for a domain.
|
||||
- **Content:** SVCB and HTTPS are used to specify technical details about services and security, while CAA focuses solely on certificate authority authorizations.
|
||||
- **Scope:** SVCB and HTTPS are broader in scope, covering details and configurations of online services, while CAA is limited to the management of certification authorities.
|
||||
|
||||
|
||||
SVCB and HTTPS offer flexibility in configuring online services and security parameters, while CAA controls which certificate authorities can issue certificates. Each of these DNS record types fulfills a distinct role in managing and securing online services and SSL/TLS certificates.
|
||||
|
|
@ -0,0 +1,80 @@
|
|||
---
|
||||
layout: post
|
||||
title: "Les nouvelles spécifications des entrées de zone DNS avec la RFC 9460"
|
||||
date: 2023-11-30
|
||||
author: Frédéric
|
||||
image: https://source.unsplash.com/56cd371ee9a7/1920x1920
|
||||
#showtoc: false
|
||||
---
|
||||
|
||||
Le Domain Name System (DNS) vient de franchir une étape avec les nouvelles spécifications de la RFC 9460 publiée début novembre 2023.
|
||||
Bien que subtils, ces changements, améliorent l'optimisation et la sécurité des sites web.
|
||||
L'une des évolutions les plus notables est l'ajout des types d'enregistrement SVCB (Service Binding) et HTTPS.
|
||||
|
||||
|
||||
## Quels avantages apportent-ils ?
|
||||
|
||||
Ces nouveaux types d'enregistrement offrent une flexibilité et un contrôle accrus aux propriétaires de domaines :
|
||||
- **Amélioration des performances :** des paramètres sur les services permettent d'optimiser les performances selon vos besoins particuliers.
|
||||
- **Sécurité renforcée :** HTTPS permet des paramètres de sécurité avancés et renforce la protection des utilisateurs contre les menaces en ligne.
|
||||
- **Compatibilité élargie :** ils sont compatibles avec les implémentations existantes du DNS, ce qui facilite leur adoption et leur intégration.
|
||||
|
||||
## Cas d'utilisation et bonnes pratiques
|
||||
|
||||
Ajouter ces types d'enregistrement peut être bénéfique dans plusieurs scénarios :
|
||||
- **Sites Web à fort trafic :** les sites avec un trafic important peuvent tirer parti des configurations spécifique pour améliorer la performance et la sécurité.
|
||||
- **Logiciels critiques :** la configuration avancée permise par ces enregistrements élève la sécurité des accès.
|
||||
|
||||
## Comment écrire ces enregistrements ?
|
||||
|
||||
### 1. Enregistrement SVCB (Service Binding)
|
||||
|
||||
Il déclare des informations sur les services en ligne.
|
||||
|
||||
**Exemple :** `example.com. IN SVCB 1 . alpn="h3,h2", ipv4hint="192.0.2.1"`
|
||||
- **`example.com.` :** nom de domaine auquel l'enregistrement est associé. Ici "example.com".
|
||||
- **`IN` :** classe de l'enregistrement, généralement IN pour Internet.
|
||||
- **`SVCB` :** indique un type d’enregistrement SVCB.
|
||||
- **1 :** le premier paramètre numérique spécifie le numéro de l'entrée SVCB. Dans cet exemple, il est défini sur 1.
|
||||
- **`alpn="h3,h2"` :* spécifique au type SVCB. Ici, alpn fait référence à la liste des protocoles de négociation d'application (ALPN) supportés pour ce service, configuré pour prendre en charge les protocoles HTTP/3 (h3) et HTTP/2 (h2).
|
||||
- **`ipv4hint="192.0.2.1"` :** spécifie une suggestion d'adresse IPv4 pour le service. ici 192.0.2.1.
|
||||
|
||||
### 2. Enregistrement HTTPS
|
||||
|
||||
Il spécifie des détails sur la connexion sécurisée pour un domaine.
|
||||
|
||||
**Exemple :** `_443._https.example.com. IN HTTPS 1 . alpn="h2", cert="MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA3H6V+aUJ...", target="example.com"`
|
||||
- **`_443._https.example.com.` :** nom d'hôte où sera appliqué cet enregistrement HTTPS. Ici, port 443 par défaut de HTTPS, pour le domaine "example.com".
|
||||
- **`IN` :** comme au-dessus, c'est la classe de l'enregistrement.
|
||||
- **`HTTPS` :** indique un type d'enregistrement HTTPS.
|
||||
- **1 :** numéro de l'entrée HTTPS, similaire à l'enregistrement SVCB.
|
||||
- **`alpn="h2"` :** dans cet exemple, le paramètre alpn spécifie que le protocole de négociation d'application supporté est HTTP/2.
|
||||
- **`cert="MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA3H6V+aUJ..."` :** ce paramètre cert contient le certificat TLS du domaine. Tronqué ici pour des raisons de longueur. Il serait beaucoup plus long dans la réalité.
|
||||
- **`target="example.com"` :** le paramètre target spécifie le nom du serveur pour lequel ce certificat est valable.
|
||||
|
||||
### 3. Bonnes pratiques générales
|
||||
|
||||
- **Vérification de la syntaxe :** assurez-vous que la syntaxe des enregistrements est correcte en utilisant des outils de validation DNS.
|
||||
- **Documentation détaillée :** écrivez une documentation précise des enregistrements SVCB et HTTPS ajoutés, en expliquant clairement chaque paramètre et son rôle.
|
||||
- **Références aux spécifications :** consultez régulièrement la RFC 9460 et d'autres ressources pertinentes pour rester au fait des normes et des meilleures pratiques.
|
||||
|
||||
Ajoutez au plus vite des enregistrements SVCB et HTTPS et configurez-les.
|
||||
Vous optimiserez vos services en ligne et les rendrez plus sûrs pour vos utilisateurs.
|
||||
|
||||
## Quelle différence avec CAA (Certification Authority Authorization) ?
|
||||
|
||||
Défini dans la RFC 8659, l'enregistrement CAA augmente lui aussi la sécurité des noms de domaine.
|
||||
|
||||
### Comment ?
|
||||
|
||||
Il précise quelles sont les autorités de certification (CAs) qui sont autorisées à émettre des certificats pour un domaine spécifique.
|
||||
Ainsi, il renforce le contrôle sur les certificats SSL/TLS émis pour leur domaine et empêche la substitution malicieuse.
|
||||
|
||||
### Différences clés
|
||||
|
||||
- **But :** SVCB et HTTPS sont utilisés pour déclarer des informations sur les services en ligne, tandis que CAA est utilisé pour spécifier les autorités de certification autorisées à émettre des certificats pour un domaine.
|
||||
- **Contenu :** SVCB et HTTPS permettent de préciser des détails techniques sur les services et la sécurité, tandis que CAA se concentre uniquement sur les autorisations des autorités de certification.
|
||||
- **Portée :** SVCB et HTTPS sont plus larges dans leur champ d'application, couvrant les détails et configurations des services en ligne, tandis que CAA est limité à la gestion des autorités de certification.
|
||||
|
||||
SVCB et HTTPS offrent une flexibilité pour configurer les services en ligne et les paramètres de sécurité, tandis que CAA contrôle quelles autorités de certification peuvent émettre des certificats.
|
||||
Chacun de ces types d'enregistrements DNS remplit un rôle distinct dans la gestion et la sécurisation des services en ligne et des certificats SSL/TLS.
|
||||
Loading…
Reference in New Issue