-
@punkeel @BoolKiRool Non, parce que j’en profite au passage pour durcir ma sécu et passer sur du wildcard. Fini les énumérations dans crt.sh !Permalink On twitter.com
Mood 0
-
@punkeel @BoolKiRool Du coup c’est du DNS-01Permalink On twitter.com
Mood 0
-
@punkeel @BoolKiRool Le blem c’est que ma zone DNS est, comme devrait l’être toute zone DNSSec, sur un stealth master DNS. Une machine air-gapped qui contient les ZSK/KSK et signe les modifs de zone pour les envoyer ensuite à mes public master DNS.Permalink On twitter.com
♻️ 1 Retweets
❤️ 1 Favorite
Mood 0
-
@punkeel @BoolKiRool Du coup le blem c’est que DNS-01 natif de certbot est absolument inutilisable avec ce mode de fonctionnement. Les machines qui déploient les certs n’ont absolument aucun moyen de faire une modification de DNS… C’est la **BASE** de DNSSec. Ça devrait l’être.Permalink On twitter.com
❤️ 1 Favorite
Mood 0
-
@punkeel @BoolKiRool Du coup j’ai fais mon propre client LE, qui tourne sur le stealth master, qui génère le certif, modifie la zone et la resigne via knot et valide le challenge.Permalink On twitter.com
❤️ 1 Favorite
Mood -1 🙁
-
@punkeel @BoolKiRool Le certif étant public, il est balancé sur un nginx static public, et les autres machines viennent taper dessus régulièrement pour récupérer les éventuels renew.Permalink On twitter.com
❤️ 1 Favorite
Mood 0
-
@punkeel @BoolKiRool Du coup j’ai ma machine air-gap qui reste air-gap.On twitter.com
Mood 0