Le rapport
(http://www.scribd.com/doc/64011372/Operation-Black-Tulip-v1-0) du
gouvernement hollandais est édifiant: des malwares sur les serveurs de
production les plus critiques, serveurs non patchés avec de multiples
vulnérabilités, etc.
Il serait intéressant de savoir comment un prestataire aussi incompétent
techniquement a pu se glisser dans la liste des autorités de certification.
Et combien d'autres autorités de certification sont aussi peu fiables ..
Tiens, ça ne vous rappelle pas un peu l'économie "moderne", ça ?
Enfin, on ne sait plus si il faut appeler ça l'économie, la politique , ou l'absence de politique.
Gloops
Stephane CARPENTIER a écrit, le 09/10/2011 19:17 :
Gloops wrote:
Stephane CARPENTIER a écrit, le 08/10/2011 21:07 :
Gloops wrote:
Stephane CARPENTIER a écrit, le 07/09/2011 22:08 :
Fabien LE LEZ wrote:
Honnêtement, j'ai abandonné tout espoir. Entre les autorités foireuses et les certificats auto-signés, je préfère considérer que HTTP et HTTPS sont équivalents.
Heu, les certificats auto-signés, c'est très bien. Au moins, tu sais ce que tu fais. Bien sûr, ça ne te garanti pas que tu sais sur que l site tu vas, mais ce n'est pas fait pour ça.
Sans certificat du tout, on sait aussi ce qu'on fait, non ?
Oui.
C'est les autres, qui ne le savent pas.
C'est aussi toi qui ne sais pas ce que les autres font de ton certifi cat.
Si j'ai un peu retenu quelque chose, c'est pour ça que le certificat comporte une clef privée et une clef publique. Et qu'il ne faut pas laisser traîner la clef privée n'importe où.
Je le fait autrement.
Quand je génère ma clé privée, je sais ce que j'en fais. Quand un organisme tiers me génère ma clé privée, je ne sais pa s ce qu'il en fait.
Qu'on peut synthétiser : crise de confiance.
Stephane CARPENTIER a écrit, le 09/10/2011 19:17 :
Gloops wrote:
Stephane CARPENTIER a écrit, le 08/10/2011 21:07 :
Gloops wrote:
Stephane CARPENTIER a écrit, le 07/09/2011 22:08 :
Fabien LE LEZ wrote:
Honnêtement, j'ai abandonné tout espoir. Entre les autorités foireuses
et les certificats auto-signés, je préfère considérer que HTTP et
HTTPS sont équivalents.
Heu, les certificats auto-signés, c'est très bien. Au moins, tu sais ce
que tu fais. Bien sûr, ça ne te garanti pas que tu sais sur que l site
tu vas, mais ce n'est pas fait pour ça.
Sans certificat du tout, on sait aussi ce qu'on fait, non ?
Oui.
C'est les autres, qui ne le savent pas.
C'est aussi toi qui ne sais pas ce que les autres font de ton certifi cat.
Si j'ai un peu retenu quelque chose, c'est pour ça que le certificat
comporte une clef privée et une clef publique. Et qu'il ne faut pas
laisser traîner la clef privée n'importe où.
Je le fait autrement.
Quand je génère ma clé privée, je sais ce que j'en fais.
Quand un organisme tiers me génère ma clé privée, je ne sais pa s ce qu'il en
fait.
Stephane CARPENTIER a écrit, le 09/10/2011 19:17 :
Gloops wrote:
Stephane CARPENTIER a écrit, le 08/10/2011 21:07 :
Gloops wrote:
Stephane CARPENTIER a écrit, le 07/09/2011 22:08 :
Fabien LE LEZ wrote:
Honnêtement, j'ai abandonné tout espoir. Entre les autorités foireuses et les certificats auto-signés, je préfère considérer que HTTP et HTTPS sont équivalents.
Heu, les certificats auto-signés, c'est très bien. Au moins, tu sais ce que tu fais. Bien sûr, ça ne te garanti pas que tu sais sur que l site tu vas, mais ce n'est pas fait pour ça.
Sans certificat du tout, on sait aussi ce qu'on fait, non ?
Oui.
C'est les autres, qui ne le savent pas.
C'est aussi toi qui ne sais pas ce que les autres font de ton certifi cat.
Si j'ai un peu retenu quelque chose, c'est pour ça que le certificat comporte une clef privée et une clef publique. Et qu'il ne faut pas laisser traîner la clef privée n'importe où.
Je le fait autrement.
Quand je génère ma clé privée, je sais ce que j'en fais. Quand un organisme tiers me génère ma clé privée, je ne sais pa s ce qu'il en fait.
Qu'on peut synthétiser : crise de confiance.
Fabien LE LEZ
On Wed, 12 Oct 2011 13:50:44 +0200, Gloops :
Et l'hôpital Pompidou, à Paris, qui regroupe tous les malades au même endroit comme moyen principal de lutte contre les maladies nosocomiales,
Le lien avec la sécurité informatique me paraît ténu.
On Wed, 12 Oct 2011 13:50:44 +0200, Gloops :
Et l'hôpital Pompidou, à Paris, qui regroupe tous les malades au même
endroit comme moyen principal de lutte contre les maladies nosocomiales,
Le lien avec la sécurité informatique me paraît ténu.
Et l'hôpital Pompidou, à Paris, qui regroupe tous les malades au même endroit comme moyen principal de lutte contre les maladies nosocomiales,
Le lien avec la sécurité informatique me paraît ténu.
Stéphane Catteau
Fabien LE LEZ devait dire quelque chose comme ceci :
Ce n'est même pas de la malhonnêteté, du moins dans l'intention, c'est ça le pire.
En gros, ce sont des escrocs honnêtes mais idiots ?
En gros ce ne sont pas des escrocs, juste des sociétés. Tout le problème est là, dès que tu files les clés à une entité qui n'existe que pour l'argent, il ne faut pas s'étonner qu'ils cherchent à faire de l'argent. Seulement dans le même temps, autant tu peux arriver à faire une autorité de certification avec quelques bouts de ficelles, autant pour un DNS racine tu as besoin d'un financement béton pour que les machines restent à tout prix opérationnelles 24/24 et sécurisé à 99,99%. Et là tu as au minimum besoin de l'apport du privé, avec le risque qu'un financier devienne majoritaire et impose sa loi.
Cela ne veut pas dire qu'il faille faire confiance à Verisign.
Certainement pas.
Tu voulais pas plutôt dire, "tout à fait" ? :/
Un gars malhonnête peut parfois décider d'être honnête. Un crétin est crétin en permanence.
Un gars malhonnête, tu n'es pas en mesure de savoir s'il est devenu honnête ou si tu n'as pas encore compris où était l'embrouille.
-- 17/06/1969 - 18/01/2011
Repose en paix mon amour :'(
Fabien LE LEZ devait dire quelque chose comme ceci :
Ce n'est même pas de la malhonnêteté, du moins dans l'intention, c'est
ça le pire.
En gros, ce sont des escrocs honnêtes mais idiots ?
En gros ce ne sont pas des escrocs, juste des sociétés. Tout le
problème est là, dès que tu files les clés à une entité qui n'existe
que pour l'argent, il ne faut pas s'étonner qu'ils cherchent à faire de
l'argent.
Seulement dans le même temps, autant tu peux arriver à faire une
autorité de certification avec quelques bouts de ficelles, autant pour
un DNS racine tu as besoin d'un financement béton pour que les machines
restent à tout prix opérationnelles 24/24 et sécurisé à 99,99%. Et là
tu as au minimum besoin de l'apport du privé, avec le risque qu'un
financier devienne majoritaire et impose sa loi.
Cela ne veut pas dire qu'il faille faire confiance à Verisign.
Certainement pas.
Tu voulais pas plutôt dire, "tout à fait" ? :/
Un gars malhonnête peut parfois décider d'être honnête. Un crétin est
crétin en permanence.
Un gars malhonnête, tu n'es pas en mesure de savoir s'il est devenu
honnête ou si tu n'as pas encore compris où était l'embrouille.
Fabien LE LEZ devait dire quelque chose comme ceci :
Ce n'est même pas de la malhonnêteté, du moins dans l'intention, c'est ça le pire.
En gros, ce sont des escrocs honnêtes mais idiots ?
En gros ce ne sont pas des escrocs, juste des sociétés. Tout le problème est là, dès que tu files les clés à une entité qui n'existe que pour l'argent, il ne faut pas s'étonner qu'ils cherchent à faire de l'argent. Seulement dans le même temps, autant tu peux arriver à faire une autorité de certification avec quelques bouts de ficelles, autant pour un DNS racine tu as besoin d'un financement béton pour que les machines restent à tout prix opérationnelles 24/24 et sécurisé à 99,99%. Et là tu as au minimum besoin de l'apport du privé, avec le risque qu'un financier devienne majoritaire et impose sa loi.
Cela ne veut pas dire qu'il faille faire confiance à Verisign.
Certainement pas.
Tu voulais pas plutôt dire, "tout à fait" ? :/
Un gars malhonnête peut parfois décider d'être honnête. Un crétin est crétin en permanence.
Un gars malhonnête, tu n'es pas en mesure de savoir s'il est devenu honnête ou si tu n'as pas encore compris où était l'embrouille.
-- 17/06/1969 - 18/01/2011
Repose en paix mon amour :'(
Gloops
Fabien LE LEZ a écrit, le 12/10/2011 15:10 :
On Wed, 12 Oct 2011 13:50:44 +0200, Gloops :
Et l'hôpital Pompidou, à Paris, qui regroupe tous les malades au m ême endroit comme moyen principal de lutte contre les maladies nosocomiale s,
Le lien avec la sécurité informatique me paraît ténu.
Oui, c'est un peu le sens de ce que je reconnaissais à la fin ...
Fabien LE LEZ a écrit, le 12/10/2011 15:10 :
On Wed, 12 Oct 2011 13:50:44 +0200, Gloops :
Et l'hôpital Pompidou, à Paris, qui regroupe tous les malades au m ême
endroit comme moyen principal de lutte contre les maladies nosocomiale s,
Le lien avec la sécurité informatique me paraît ténu.
Oui, c'est un peu le sens de ce que je reconnaissais à la fin ...
Et l'hôpital Pompidou, à Paris, qui regroupe tous les malades au m ême endroit comme moyen principal de lutte contre les maladies nosocomiale s,
Le lien avec la sécurité informatique me paraît ténu.
Oui, c'est un peu le sens de ce que je reconnaissais à la fin ...
Fabien LE LEZ
On Wed, 12 Oct 2011 15:46:08 +0200, Stéphane Catteau :
Tout le problème est là, dès que tu files les clés à une entité qui n'existe que pour l'argent, il ne faut pas s'étonner qu'ils cherchent à faire de l'argent.
Le but d'une société privée est effectivement de gagner le plus d'argent possible.
Toutefois, ça peut se faire de deux manières différentes :
- "Hit and run" : on monte une société bidon, on lève des capitaux, puis on se tire avec le pognon. Dans ce cas, tu te fiches de ce que les gens pensent de ta société, qui n'existera plus dans quelques mois.
- Gestion à long terme : on s'assure que dans dix ans, l'argent rentrera toujours. Baser sa politique de communication sur "Je fais ce que je bon me semble ; faites provision de vaseline" ne me paraît pas la meilleure des stratégies, à moins d'être dans une sacrée position de force.
Cela ne veut pas dire qu'il faille faire confiance à Verisign.
Certainement pas.
Tu voulais pas plutôt dire, "tout à fait" ? :/
J'acquiesçais : Je ne ferais certainement pas confiance à Verisign.
On Wed, 12 Oct 2011 15:46:08 +0200, Stéphane Catteau
<steph.nospam@sc4x.net>:
Tout le
problème est là, dès que tu files les clés à une entité qui n'existe
que pour l'argent, il ne faut pas s'étonner qu'ils cherchent à faire de
l'argent.
Le but d'une société privée est effectivement de gagner le plus
d'argent possible.
Toutefois, ça peut se faire de deux manières différentes :
- "Hit and run" : on monte une société bidon, on lève des capitaux,
puis on se tire avec le pognon. Dans ce cas, tu te fiches de ce que
les gens pensent de ta société, qui n'existera plus dans quelques
mois.
- Gestion à long terme : on s'assure que dans dix ans, l'argent
rentrera toujours. Baser sa politique de communication sur "Je fais ce
que je bon me semble ; faites provision de vaseline" ne me paraît pas
la meilleure des stratégies, à moins d'être dans une sacrée position
de force.
Cela ne veut pas dire qu'il faille faire confiance à Verisign.
Certainement pas.
Tu voulais pas plutôt dire, "tout à fait" ? :/
J'acquiesçais : Je ne ferais certainement pas confiance à Verisign.
On Wed, 12 Oct 2011 15:46:08 +0200, Stéphane Catteau :
Tout le problème est là, dès que tu files les clés à une entité qui n'existe que pour l'argent, il ne faut pas s'étonner qu'ils cherchent à faire de l'argent.
Le but d'une société privée est effectivement de gagner le plus d'argent possible.
Toutefois, ça peut se faire de deux manières différentes :
- "Hit and run" : on monte une société bidon, on lève des capitaux, puis on se tire avec le pognon. Dans ce cas, tu te fiches de ce que les gens pensent de ta société, qui n'existera plus dans quelques mois.
- Gestion à long terme : on s'assure que dans dix ans, l'argent rentrera toujours. Baser sa politique de communication sur "Je fais ce que je bon me semble ; faites provision de vaseline" ne me paraît pas la meilleure des stratégies, à moins d'être dans une sacrée position de force.
Cela ne veut pas dire qu'il faille faire confiance à Verisign.
Certainement pas.
Tu voulais pas plutôt dire, "tout à fait" ? :/
J'acquiesçais : Je ne ferais certainement pas confiance à Verisign.
Fabien LE LEZ
On Wed, 12 Oct 2011 15:46:08 +0200, Stéphane Catteau :
pour un DNS racine tu as besoin d'un financement béton pour que les machines restent à tout prix opérationnelles 24/24
Est-ce si indispensable que ça ? Il y a une sacrée redondance sur les DNS racines.
On Wed, 12 Oct 2011 15:46:08 +0200, Stéphane Catteau
<steph.nospam@sc4x.net>:
pour
un DNS racine tu as besoin d'un financement béton pour que les machines
restent à tout prix opérationnelles 24/24
Est-ce si indispensable que ça ? Il y a une sacrée redondance sur les
DNS racines.
On Wed, 12 Oct 2011 15:46:08 +0200, Stéphane Catteau :
pour un DNS racine tu as besoin d'un financement béton pour que les machines restent à tout prix opérationnelles 24/24
Est-ce si indispensable que ça ? Il y a une sacrée redondance sur les DNS racines.
Stephane CARPENTIER
Gloops wrote:
Stephane CARPENTIER a écrit, le 09/10/2011 19:17 :
Gloops wrote:
Stephane CARPENTIER a écrit, le 08/10/2011 21:07 :
Gloops wrote:
Stephane CARPENTIER a écrit, le 07/09/2011 22:08 :
Fabien LE LEZ wrote:
Honnêtement, j'ai abandonné tout espoir. Entre les autorités foireuses et les certificats auto-signés, je préfère considérer que HTTP et HTTPS sont équivalents.
Heu, les certificats auto-signés, c'est très bien. Au moins, tu sais ce que tu fais. Bien sûr, ça ne te garanti pas que tu sais sur quel site tu vas, mais ce n'est pas fait pour ça.
Sans certificat du tout, on sait aussi ce qu'on fait, non ?
Oui.
C'est les autres, qui ne le savent pas.
C'est aussi toi qui ne sais pas ce que les autres font de ton certificat.
Si j'ai un peu retenu quelque chose, c'est pour ça que le certificat comporte une clef privée et une clef publique. Et qu'il ne faut pas laisser traîner la clef privée n'importe où.
Je le fait autrement.
Quand je génère ma clé privée, je sais ce que j'en fais. Quand un organisme tiers me génère ma clé privée, je ne sais pas ce qu'il en fait.
Qu'on peut synthétiser : crise de confiance.
La sécurité, c'est pas le monde des bisounours. Il n'est pas possible de faire confiance à n'importe qui. Il est encore moins possible de faire confiance à une entreprise qui a déjà prouvé son [incompétence| malhonnêteté].
Gloops wrote:
Stephane CARPENTIER a écrit, le 09/10/2011 19:17 :
Gloops wrote:
Stephane CARPENTIER a écrit, le 08/10/2011 21:07 :
Gloops wrote:
Stephane CARPENTIER a écrit, le 07/09/2011 22:08 :
Fabien LE LEZ wrote:
Honnêtement, j'ai abandonné tout espoir. Entre les autorités
foireuses et les certificats auto-signés, je préfère considérer que
HTTP et HTTPS sont équivalents.
Heu, les certificats auto-signés, c'est très bien. Au moins, tu sais
ce que tu fais. Bien sûr, ça ne te garanti pas que tu sais sur quel
site tu vas, mais ce n'est pas fait pour ça.
Sans certificat du tout, on sait aussi ce qu'on fait, non ?
Oui.
C'est les autres, qui ne le savent pas.
C'est aussi toi qui ne sais pas ce que les autres font de ton
certificat.
Si j'ai un peu retenu quelque chose, c'est pour ça que le certificat
comporte une clef privée et une clef publique. Et qu'il ne faut pas
laisser traîner la clef privée n'importe où.
Je le fait autrement.
Quand je génère ma clé privée, je sais ce que j'en fais.
Quand un organisme tiers me génère ma clé privée, je ne sais pas ce qu'il
en fait.
Qu'on peut synthétiser : crise de confiance.
La sécurité, c'est pas le monde des bisounours. Il n'est pas possible de
faire confiance à n'importe qui. Il est encore moins possible de faire
confiance à une entreprise qui a déjà prouvé son [incompétence|
malhonnêteté].
Stephane CARPENTIER a écrit, le 09/10/2011 19:17 :
Gloops wrote:
Stephane CARPENTIER a écrit, le 08/10/2011 21:07 :
Gloops wrote:
Stephane CARPENTIER a écrit, le 07/09/2011 22:08 :
Fabien LE LEZ wrote:
Honnêtement, j'ai abandonné tout espoir. Entre les autorités foireuses et les certificats auto-signés, je préfère considérer que HTTP et HTTPS sont équivalents.
Heu, les certificats auto-signés, c'est très bien. Au moins, tu sais ce que tu fais. Bien sûr, ça ne te garanti pas que tu sais sur quel site tu vas, mais ce n'est pas fait pour ça.
Sans certificat du tout, on sait aussi ce qu'on fait, non ?
Oui.
C'est les autres, qui ne le savent pas.
C'est aussi toi qui ne sais pas ce que les autres font de ton certificat.
Si j'ai un peu retenu quelque chose, c'est pour ça que le certificat comporte une clef privée et une clef publique. Et qu'il ne faut pas laisser traîner la clef privée n'importe où.
Je le fait autrement.
Quand je génère ma clé privée, je sais ce que j'en fais. Quand un organisme tiers me génère ma clé privée, je ne sais pas ce qu'il en fait.
Qu'on peut synthétiser : crise de confiance.
La sécurité, c'est pas le monde des bisounours. Il n'est pas possible de faire confiance à n'importe qui. Il est encore moins possible de faire confiance à une entreprise qui a déjà prouvé son [incompétence| malhonnêteté].
Stéphane Catteau
Fabien LE LEZ devait dire quelque chose comme ceci :
Tout le problème est là, dès que tu files les clés à une entité qui n'existe que pour l'argent, il ne faut pas s'étonner qu'ils cherchent à faire de l'argent.
[snip]
- Gestion à long terme : on s'assure que dans dix ans, l'argent rentrera toujours. Baser sa politique de communication sur "Je fais ce que je bon me semble ; faites provision de vaseline" ne me paraît pas la meilleure des stratégies, à moins d'être dans une sacrée position de force.
Je suis d'accord avec toi sur le fond, d'ailleurs je ne suis pas le seul puisque 99% des sociétés privés plus ou moins autoritatives sur le réseau ne font même pas parler d'elles. Mais voilà, il y a toujours des exceptions, des sociétés qui ne regardent pas plus loin que le bout de leur nez :(
J'acquiesçais : Je ne ferais certainement pas confiance à Verisign.
Au temps pour moi.
-- 17/06/1969 - 18/01/2011
Repose en paix mon amour :'(
Fabien LE LEZ devait dire quelque chose comme ceci :
Tout le problème est là, dès que tu files les clés à une entité qui
n'existe que pour l'argent, il ne faut pas s'étonner qu'ils cherchent
à faire de l'argent.
[snip]
- Gestion à long terme : on s'assure que dans dix ans, l'argent
rentrera toujours. Baser sa politique de communication sur "Je fais ce
que je bon me semble ; faites provision de vaseline" ne me paraît pas
la meilleure des stratégies, à moins d'être dans une sacrée position
de force.
Je suis d'accord avec toi sur le fond, d'ailleurs je ne suis pas le
seul puisque 99% des sociétés privés plus ou moins autoritatives sur le
réseau ne font même pas parler d'elles. Mais voilà, il y a toujours des
exceptions, des sociétés qui ne regardent pas plus loin que le bout de
leur nez :(
J'acquiesçais : Je ne ferais certainement pas confiance à Verisign.
Fabien LE LEZ devait dire quelque chose comme ceci :
Tout le problème est là, dès que tu files les clés à une entité qui n'existe que pour l'argent, il ne faut pas s'étonner qu'ils cherchent à faire de l'argent.
[snip]
- Gestion à long terme : on s'assure que dans dix ans, l'argent rentrera toujours. Baser sa politique de communication sur "Je fais ce que je bon me semble ; faites provision de vaseline" ne me paraît pas la meilleure des stratégies, à moins d'être dans une sacrée position de force.
Je suis d'accord avec toi sur le fond, d'ailleurs je ne suis pas le seul puisque 99% des sociétés privés plus ou moins autoritatives sur le réseau ne font même pas parler d'elles. Mais voilà, il y a toujours des exceptions, des sociétés qui ne regardent pas plus loin que le bout de leur nez :(
J'acquiesçais : Je ne ferais certainement pas confiance à Verisign.
Au temps pour moi.
-- 17/06/1969 - 18/01/2011
Repose en paix mon amour :'(
Stéphane Catteau
Fabien LE LEZ n'était pas loin de dire :
pour un DNS racine tu as besoin d'un financement béton pour que les machines restent à tout prix opérationnelles 24/24
Est-ce si indispensable que ça ? Il y a une sacrée redondance sur les DNS racines.
Lorsque Redbus s'est retrouvé avec une salle blanche HS pendant pres d'une journée parce que les groupes électrogènes de secours et ceux en redondance ont refusé de démarrer, le réseau s'est rappelé que l'impossible pouvait arriver. Dans le même temps, le dernier DDoS contre les DNS racines, 2007 si je me souviens bien, à démontrer que les machines étaient encore surchargeables, même lorsqu'elles sont en anycast. Donc dans l'absolue ce n'est pas indispensable, mais dans la pratique cela vaut mieux. Accessoirement, la redondance vient surtout du fait que 9 des 13 DNS racines sont en anycast, ce qui n'est pas fait pour alléger les coûts.
Je suis pour "un retour aux fondamentaux", si je puis dire, et le désengagement de la sphère privée, mais le réseau à pris de telles proportions que cela me semble tout simplement impossible. Qui plus est avec la tendance actuelle du web. Entre les pubs, les scripts, les données bientôt, toutes hébergées sur des réseaux différents, une simple page web "moderne" demande une dizaine, si ce n'est plus, de requêtes DNS. Et comme les modifications apportée au protocole n'ont pas réellement réglé le problème des requêtes inutiles faites vers les serveurs racines, leur nombre va devoir continuer à augmenter dans les années à venir. Une entité non commerciale n'arriverait pas à trouver les moyens d'assurer le service. Il reste un regroupement d'entité, mais là c'est le nombre qui poserait problème, puisqu'il serait trop important pour garantir la cohésion de l'ensemble.
-- 17/06/1969 - 18/01/2011
Repose en paix mon amour :'(
Fabien LE LEZ n'était pas loin de dire :
pour un DNS racine tu as besoin d'un financement béton pour que les
machines restent à tout prix opérationnelles 24/24
Est-ce si indispensable que ça ? Il y a une sacrée redondance sur les
DNS racines.
Lorsque Redbus s'est retrouvé avec une salle blanche HS pendant pres
d'une journée parce que les groupes électrogènes de secours et ceux en
redondance ont refusé de démarrer, le réseau s'est rappelé que
l'impossible pouvait arriver. Dans le même temps, le dernier DDoS
contre les DNS racines, 2007 si je me souviens bien, à démontrer que
les machines étaient encore surchargeables, même lorsqu'elles sont en
anycast.
Donc dans l'absolue ce n'est pas indispensable, mais dans la pratique
cela vaut mieux. Accessoirement, la redondance vient surtout du fait
que 9 des 13 DNS racines sont en anycast, ce qui n'est pas fait pour
alléger les coûts.
Je suis pour "un retour aux fondamentaux", si je puis dire, et le
désengagement de la sphère privée, mais le réseau à pris de telles
proportions que cela me semble tout simplement impossible. Qui plus est
avec la tendance actuelle du web. Entre les pubs, les scripts, les
données bientôt, toutes hébergées sur des réseaux différents, une
simple page web "moderne" demande une dizaine, si ce n'est plus, de
requêtes DNS. Et comme les modifications apportée au protocole n'ont
pas réellement réglé le problème des requêtes inutiles faites vers les
serveurs racines, leur nombre va devoir continuer à augmenter dans les
années à venir.
Une entité non commerciale n'arriverait pas à trouver les moyens
d'assurer le service. Il reste un regroupement d'entité, mais là c'est
le nombre qui poserait problème, puisqu'il serait trop important pour
garantir la cohésion de l'ensemble.
pour un DNS racine tu as besoin d'un financement béton pour que les machines restent à tout prix opérationnelles 24/24
Est-ce si indispensable que ça ? Il y a une sacrée redondance sur les DNS racines.
Lorsque Redbus s'est retrouvé avec une salle blanche HS pendant pres d'une journée parce que les groupes électrogènes de secours et ceux en redondance ont refusé de démarrer, le réseau s'est rappelé que l'impossible pouvait arriver. Dans le même temps, le dernier DDoS contre les DNS racines, 2007 si je me souviens bien, à démontrer que les machines étaient encore surchargeables, même lorsqu'elles sont en anycast. Donc dans l'absolue ce n'est pas indispensable, mais dans la pratique cela vaut mieux. Accessoirement, la redondance vient surtout du fait que 9 des 13 DNS racines sont en anycast, ce qui n'est pas fait pour alléger les coûts.
Je suis pour "un retour aux fondamentaux", si je puis dire, et le désengagement de la sphère privée, mais le réseau à pris de telles proportions que cela me semble tout simplement impossible. Qui plus est avec la tendance actuelle du web. Entre les pubs, les scripts, les données bientôt, toutes hébergées sur des réseaux différents, une simple page web "moderne" demande une dizaine, si ce n'est plus, de requêtes DNS. Et comme les modifications apportée au protocole n'ont pas réellement réglé le problème des requêtes inutiles faites vers les serveurs racines, leur nombre va devoir continuer à augmenter dans les années à venir. Une entité non commerciale n'arriverait pas à trouver les moyens d'assurer le service. Il reste un regroupement d'entité, mais là c'est le nombre qui poserait problème, puisqu'il serait trop important pour garantir la cohésion de l'ensemble.
