Project

General

Profile

Demande #4442

Mauvais records SSHFP

Added by François Poulain over 1 year ago. Updated 10 days ago.

Status:
Fermé
Priority:
Normale
Category:
-
Target version:
Start date:
04/26/2020
Due date:
% Done:

0%

Estimated time:
Difficulté:
2 Facile

Description

J'ai régulièrement des blague du genre :

@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@    WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED!     @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY!
Someone could be eavesdropping on you right now (man-in-the-middle attack)!
It is also possible that a host key has just been changed.
The fingerprint for the ECDSA key sent by the remote host is
SHA256:Y4VJta0pCoebsbPvX4N/D6L6+gs/fEQpu25vrkR44sI.
Please contact your system administrator.
Update the SSHFP RR in DNS with the new host key to get rid of this message.

Ça fait pas très sérieux. :)

History

#1

Updated by Christian P. Momon over 1 year ago

Depuis 2016, ni les clés, ni les déclarations SSHFP DNS n'ont été modifiées.
Du coup, pourquoi les valeurs du DNS ne sont plus bonnes ?
À quelle occasion ce message d'avertissement ?

#2

Updated by Quentin Gibeaux over 1 year ago

  • Assignee set to François Poulain
#3

Updated by Quentin Gibeaux over 1 year ago

  • Target version changed from Backlog to Septembre 2020
#4

Updated by Quentin Gibeaux about 1 year ago

  • Target version changed from Septembre 2020 to Octobre 2020
#5

Updated by Quentin Gibeaux about 1 year ago

  • Target version changed from Octobre 2020 to Novembre 2020
#6

Updated by Quentin Gibeaux about 1 year ago

  • Target version changed from Novembre 2020 to Décembre 2020
#7

Updated by François Poulain about 1 year ago

Christian P. Momon a écrit :

Depuis 2016, ni les clés, ni les déclarations SSHFP DNS n'ont été modifiées.
Du coup, pourquoi les valeurs du DNS ne sont plus bonnes ?

Je ne sais plus mais je crois que les host keys ont changé entre temps.

À quelle occasion ce message d'avertissement ?

Il faut ajouter -o VerifyHostKeyDNS=ask à ton client. Chez moi je l'avait en config globale. C'est un peu l'équivalent de DANE mais pour ssh. Sans recours à DNSSEC c'est d'un intérêt mineur. Mais avec l'arrivée de DoH/DoT ça peut avoir un intérêt certain (j'ai pas creusé).

#8

Updated by Quentin Gibeaux 11 months ago

  • Target version changed from Décembre 2020 to Janvier 2021
#9

Updated by Quentin Gibeaux 10 months ago

  • Target version changed from Janvier 2021 to Février 2021
#10

Updated by Quentin Gibeaux 9 months ago

  • Target version changed from Février 2021 to Mars 2021
#11

Updated by Quentin Gibeaux 8 months ago

  • Target version changed from Mars 2021 to Avril 2021
#12

Updated by Quentin Gibeaux 7 months ago

  • Target version changed from Avril 2021 to Mai 2021
#13

Updated by Quentin Gibeaux 6 months ago

  • Target version changed from Mai 2021 to Juin 2021
#14

Updated by Quentin Gibeaux 5 months ago

  • Target version changed from Juin 2021 to Été 2021
#15

Updated by Quentin Gibeaux 3 months ago

  • Target version changed from Été 2021 to Septembre 2021
#16

Updated by Quentin Gibeaux 2 months ago

  • Target version changed from Septembre 2021 to Octobre 2021
#17

Updated by Quentin Gibeaux about 1 month ago

  • Target version changed from Octobre 2021 to Novembre 2021
#18

Updated by François Poulain 14 days ago

  • Status changed from Nouveau to Résolu

Non beh les records SSHFP sont OK. C'est ma conf SSH pour accéder à félicette qui était KO. Vérifié suite à la migration chez Hetzner.

#19

Updated by Quentin Gibeaux 10 days ago

  • Status changed from Résolu to Fermé

Also available in: Atom PDF