6012 links

  • GuiGui's Show

  • Home
  • Login
  • RSS Feed
  • Tag cloud
  • Picture wall
  • Daily
Links per page: 20 50 100
page 1 / 1

  • Cas d'usage d'un enregistrement DNS de type HTTPS

    Enregistrement DNS HTTPS. On peut l'utiliser pour signaler les protocoles pris en charge (HTTP/2, HTTP/3, etc.).

    Utilisation plus originale :

    • Un réseau totalement IPv6. Une seule adresse IPv4 en entrée ;

    • Plusieurs sites web, sur des serveurs différents, pour des clients (au sens commercial) différents. Donc un serveur mandataire inverse IPv4 pour mutualiser le port 443 (https) ;

    • Sur l'un des sites web, authentification des utilisateurs par certificat x509 (= mTLS = mutual TLS) ;

    • L'auth fonctionne en IPv6 puisque l'utilisateur cause directement au serveur (sans mandataire inverse). Mais en IPv4, ça casse, puisque l'utilisateur cause au mandataire inverse qui, lui-même, dialogue avec le serveur web sans disposer de la clé privée de l'utilisateur ;

    • La transmission brute du flux TLS (TLS passthrough) est impossible : dans ce mode, le mandataire inverse transmet aussi la poignée de main TLS, qui contient le nom du site web demandé (SNI), donc impossible de diriger le flux sur le bon serveur web ;

    • Il est possible d'écrire un programme qui lit le SNI dans la poignée de main TLS, qui initie une connexion réseau vers le bon serveur web, et qui recopie tout le flux réseau (y compris, donc, les paramètres TLS) entre la connexion avec l'utilisateur et celle avec le serveur, et inversement. snid fait cela. Il est empaqueté dans Debian. Ça fonctionne aussi avec l'extension facultative TLS Encrypted Client Hello de TLS 1.3. ECH fonctionne avec un nom public (qui n'est pas censé révéler la vraie destination, comme ech.cloudflare.com, par ex.) et un nom privé et chiffré (qui est la destination réelle). Pour faire de la recopie de flux, il suffit donc d'annihiler TLS ECH en choisissant un nom public qui révèle au moins partiellement la destination ;

    • Un enregistrement DNS de type HTTPS permet d'indiquer le port TCP (ou QUIC, donc UDP, pour http/3) afin que l'utilisateur n'ait pas à le spécifier dans l'URL. Exemple : 1 . port=444. Obligatoirement le même port en IPv4 et en IPv6. En IPv6, rien ne change. En IPv4, on dédie un port (DNAT) à un site web, et on envoie directement le trafic au serveur web, sans passer par le mandataire inverse. Tadaaaa.
    03/04/2026 00:03:08 - permalink -
    - http://shaarli.guiguishow.info/?L1dIsg
Links per page: 20 50 100
page 1 / 1
Mentions légales identiques à celles de mon blog | CC BY-SA 3.0

Shaarli - The personal, minimalist, super-fast, database free, bookmarking service by the Shaarli community