New article shared by frederic

This commit is contained in:
nemunaire 2023-12-01 19:31:29 +01:00
parent 88e983d1ec
commit 8bcdd88810
2 changed files with 161 additions and 0 deletions

81
content/rfc-9460.en.md Normal file
View File

@ -0,0 +1,81 @@
---
layout: post
title: "New DNS zone entry specifications with RFC 9460"
date: 2023-11-30
author: Frédéric
image: https://source.unsplash.com/56cd371ee9a7/1920x1920
#showtoc: false
---
The Domain Name System (DNS) has reached a milestone with the new RFC 9460 specifications published in early November 2023.
Although subtle, these changes improve website optimization and security. One of the most notable changes is the addition of SVCB (Service Binding) and HTTPS record types.
## What benefits do they bring?
These new registration types give domain owners greater flexibility and control:
- **Improved performance:** service parameters can be set to optimize performance for your particular needs.
- **Enhanced security:** HTTPS enables advanced security settings and strengthens user protection against online threats.
- **Extended compatibility:** they are compatible with existing DNS implementations, facilitating adoption and integration.
## Use cases and best practices
Adding these types of registration can be beneficial in several scenarios:
- **High-traffic websites:** sites with heavy traffic can benefit from specific configurations to improve performance and security.
- **Mission-critical software:** the advanced configuration enabled by these registrations enhances access security.
## How do you write these recordings?
### 1. SVCB (Service Binding) record
Declares information about online services.
**Example:** `example.com. IN SVCB 1 . alpn="h3,h2", ipv4hint="192.0.2.1"`
- **`example.com.`:** domain name to which the registration is associated. Here "example.com".
- **`IN`:** record class, generally IN for Internet.
- **`SVCB`:** indicates an SVCB record type.
- **`1`:** the first numeric parameter specifies the SVCB entry number. In this example, it is set to 1.
- **`alpn="h3,h2"`:** specific to the SVCB type. Here, alpn refers to the list of application negotiation protocols (ALPN) supported for this service, configured to support HTTP/3 (h3) and HTTP/2 (h2) protocols.
- **`ipv4hint="192.0.2.1"`:** specifies a suggested IPv4 address for the service. here 192.0.2.1.
### 2. HTTPS record
Specifies secure connection details for a domain.
**Example:** `_443._https.example.com. IN HTTPS 1 . alpn="h2", cert="MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA3H6V+aUJ...", target="example.com"`
- **`_443._https.example.com.`:** Host name where this HTTPS record will be applied. Here, default HTTPS port 443, for the domain "example.com".
- **`IN`:** as above, this is the class of the record.
- **`HTTPS`:** indicates an HTTPS record type.
- **`1`:** HTTPS entry number, similar to the SVCB record.
- **`alpn="h2"`:** in this example, the alpn parameter specifies that the supported application negotiation protocol is HTTP/2.
- **`cert="MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA3H6V+aUJ..."`:** This cert parameter contains the domain's TLS certificate. Truncated here for length reasons. It would be much longer in real life.
- **`target="example.com"`:** the target parameter specifies the name of the server for which this certificate is valid.
### 3. General best practices
- **Syntax checking:** make sure records are syntactically correct by using DNS validation tools.
- **Detailed documentation:** write precise documentation for added SVCB and HTTPS records, clearly explaining each parameter and its role.
- **Specification references:** regularly consult RFC 9460 and other relevant resources to keep abreast of standards and best practices.
Add and configure SVCB and HTTPS registrations as quickly as possible. You'll optimize your online services and make them more secure for your users.
## What's the difference with CAA (Certification Authority Authorization)?
Defined in RFC 8659, CAA registration also increases domain name security.
### How?
It specifies which Certification Authorities (CAs) are authorized to issue certificates for a specific domain. In this way, it strengthens control over the SSL/TLS certificates issued for their domain, and prevents malicious substitution.
### Key differences
- **Purpose:** SVCB and HTTPS are used to declare information about online services, while CAA is used to specify the certification authorities authorized to issue certificates for a domain.
- **Content:** SVCB and HTTPS are used to specify technical details about services and security, while CAA focuses solely on certificate authority authorizations.
- **Scope:** SVCB and HTTPS are broader in scope, covering details and configurations of online services, while CAA is limited to the management of certification authorities.
SVCB and HTTPS offer flexibility in configuring online services and security parameters, while CAA controls which certificate authorities can issue certificates. Each of these DNS record types fulfills a distinct role in managing and securing online services and SSL/TLS certificates.

80
content/rfc-9460.fr.md Normal file
View File

@ -0,0 +1,80 @@
---
layout: post
title: "Les nouvelles spécifications des entrées de zone DNS avec la RFC 9460"
date: 2023-11-30
author: Frédéric
image: https://source.unsplash.com/56cd371ee9a7/1920x1920
#showtoc: false
---
Le Domain Name System (DNS) vient de franchir une étape avec les nouvelles spécifications de la RFC 9460 publiée début novembre 2023.
Bien que subtils, ces changements, améliorent l'optimisation et la sécurité des sites web.
L'une des évolutions les plus notables est l'ajout des types d'enregistrement SVCB (Service Binding) et HTTPS.
## Quels avantages apportent-ils ?
Ces nouveaux types d'enregistrement offrent une flexibilité et un contrôle accrus aux propriétaires de domaines :
- **Amélioration des performances :** des paramètres sur les services permettent d'optimiser les performances selon vos besoins particuliers.
- **Sécurité renforcée :** HTTPS permet des paramètres de sécurité avancés et renforce la protection des utilisateurs contre les menaces en ligne.
- **Compatibilité élargie :** ils sont compatibles avec les implémentations existantes du DNS, ce qui facilite leur adoption et leur intégration.
## Cas d'utilisation et bonnes pratiques
Ajouter ces types d'enregistrement peut être bénéfique dans plusieurs scénarios :
- **Sites Web à fort trafic :** les sites avec un trafic important peuvent tirer parti des configurations spécifique pour améliorer la performance et la sécurité.
- **Logiciels critiques :** la configuration avancée permise par ces enregistrements élève la sécurité des accès.
## Comment écrire ces enregistrements ?
### 1. Enregistrement SVCB (Service Binding)
Il déclare des informations sur les services en ligne.
**Exemple :** `example.com. IN SVCB 1 . alpn="h3,h2", ipv4hint="192.0.2.1"`
- **`example.com.` :** nom de domaine auquel l'enregistrement est associé. Ici "example.com".
- **`IN` :** classe de l'enregistrement, généralement IN pour Internet.
- **`SVCB` :** indique un type denregistrement SVCB.
- **1 :** le premier paramètre numérique spécifie le numéro de l'entrée SVCB. Dans cet exemple, il est défini sur 1.
- **`alpn="h3,h2"` :* spécifique au type SVCB. Ici, alpn fait référence à la liste des protocoles de négociation d'application (ALPN) supportés pour ce service, configuré pour prendre en charge les protocoles HTTP/3 (h3) et HTTP/2 (h2).
- **`ipv4hint="192.0.2.1"` :** spécifie une suggestion d'adresse IPv4 pour le service. ici 192.0.2.1.
### 2. Enregistrement HTTPS
Il spécifie des détails sur la connexion sécurisée pour un domaine.
**Exemple :** `_443._https.example.com. IN HTTPS 1 . alpn="h2", cert="MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA3H6V+aUJ...", target="example.com"`
- **`_443._https.example.com.` :** nom d'hôte où sera appliqué cet enregistrement HTTPS. Ici, port 443 par défaut de HTTPS, pour le domaine "example.com".
- **`IN` :** comme au-dessus, c'est la classe de l'enregistrement.
- **`HTTPS` :** indique un type d'enregistrement HTTPS.
- **1 :** numéro de l'entrée HTTPS, similaire à l'enregistrement SVCB.
- **`alpn="h2"` :** dans cet exemple, le paramètre alpn spécifie que le protocole de négociation d'application supporté est HTTP/2.
- **`cert="MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA3H6V+aUJ..."` :** ce paramètre cert contient le certificat TLS du domaine. Tronqué ici pour des raisons de longueur. Il serait beaucoup plus long dans la réalité.
- **`target="example.com"` :** le paramètre target spécifie le nom du serveur pour lequel ce certificat est valable.
### 3. Bonnes pratiques générales
- **Vérification de la syntaxe :** assurez-vous que la syntaxe des enregistrements est correcte en utilisant des outils de validation DNS.
- **Documentation détaillée :** écrivez une documentation précise des enregistrements SVCB et HTTPS ajoutés, en expliquant clairement chaque paramètre et son rôle.
- **Références aux spécifications :** consultez régulièrement la RFC 9460 et d'autres ressources pertinentes pour rester au fait des normes et des meilleures pratiques.
Ajoutez au plus vite des enregistrements SVCB et HTTPS et configurez-les.
Vous optimiserez vos services en ligne et les rendrez plus sûrs pour vos utilisateurs.
## Quelle différence avec CAA (Certification Authority Authorization) ?
Défini dans la RFC 8659, l'enregistrement CAA augmente lui aussi la sécurité des noms de domaine.
### Comment ?
Il précise quelles sont les autorités de certification (CAs) qui sont autorisées à émettre des certificats pour un domaine spécifique.
Ainsi, il renforce le contrôle sur les certificats SSL/TLS émis pour leur domaine et empêche la substitution malicieuse.
### Différences clés
- **But :** SVCB et HTTPS sont utilisés pour déclarer des informations sur les services en ligne, tandis que CAA est utilisé pour spécifier les autorités de certification autorisées à émettre des certificats pour un domaine.
- **Contenu :** SVCB et HTTPS permettent de préciser des détails techniques sur les services et la sécurité, tandis que CAA se concentre uniquement sur les autorisations des autorités de certification.
- **Portée :** SVCB et HTTPS sont plus larges dans leur champ d'application, couvrant les détails et configurations des services en ligne, tandis que CAA est limité à la gestion des autorités de certification.
SVCB et HTTPS offrent une flexibilité pour configurer les services en ligne et les paramètres de sécurité, tandis que CAA contrôle quelles autorités de certification peuvent émettre des certificats.
Chacun de ces types d'enregistrements DNS remplit un rôle distinct dans la gestion et la sécurisation des services en ligne et des certificats SSL/TLS.