J'ai l'impression que le monsieur qui a posté ce commentaire en profite pour faire de la pub à son service.
Tout à fait. Surtout que s'il y a besoin d'établir des certificats pour du .internal, alors il suffit simplement de déployer son propre CA en interne.
Internal, c'est du "localhost" au niveau d'une entité (par exemple une entreprise). La même problématique se pose avec les certificats localhost. Soit du autosigné que l'on accepte, soit une CA maison.
@fred42@fdorin : oui mais il était possible sur du dns interne avec un tld public de produire des certificats via LE par ex même si ces (sous-)domaines n'étaient pas accessible en tant que tel sur internet. Donc même pour des ressources internes, on pouvait utiliser des certificats LE & co.
Avec le .internal, cela ne sera plus possible pour les raisons évoquées.
Certes, on peut déployer une PKI en interne (même si c'est un peu fastidieux) mais le confort apporté par LE & co va disparaitre avec le .internal. Pas un inconvénient insurmontable mais un inconvénient quand même :-)
Et la réponse "on est en interne, on peut se passer de certificats" n'est pas la bonne réponse ;-)
Je sais pas s'il fait de la pub pour lui ou un proche ou jusque parce qu'il connait le service ou qu'il cherche à partager une réponse au problème, mais il reste que le point qu'il soulève est juste...
Le
03/02/2024 à
10h
11
Intéressant le point sur les certificats et la sécurité associée si on veut s'appuyer sur des entités de certifications comme Let's Encrypt et assimilé. Comme tout le monde pourra enregistrer bigcorp.internal, l'intérêt du certificat tombe et on peut usurper les utilisateurs assz facilement au final... En l'état, cela impose d'avoir une PKI privée et le fait de déployer les certificats de la CA en question sur votre parc...
2 commentaires
L’ICANN propose le domaine .internal pour votre réseau local
01/02/2024
Le 03/02/2024 à 19h 41
Avec le .internal, cela ne sera plus possible pour les raisons évoquées.
Certes, on peut déployer une PKI en interne (même si c'est un peu fastidieux) mais le confort apporté par LE & co va disparaitre avec le .internal. Pas un inconvénient insurmontable mais un inconvénient quand même :-)
Et la réponse "on est en interne, on peut se passer de certificats" n'est pas la bonne réponse ;-)
Je sais pas s'il fait de la pub pour lui ou un proche ou jusque parce qu'il connait le service ou qu'il cherche à partager une réponse au problème, mais il reste que le point qu'il soulève est juste...
Le 03/02/2024 à 10h 11
Intéressant le point sur les certificats et la sécurité associée si on veut s'appuyer sur des entités de certifications comme Let's Encrypt et assimilé. Comme tout le monde pourra enregistrer bigcorp.internal, l'intérêt du certificat tombe et on peut usurper les utilisateurs assz facilement au final... En l'état, cela impose d'avoir une PKI privée et le fait de déployer les certificats de la CA en question sur votre parc...https://www.icann.org/en/public-comment/proceeding/proposed-top-level-domain-string-for-private-use-24-01-2024/submissions/alexander-robert-27-01-2024