Project

General

Profile

Demande #4442

Mauvais records SSHFP

Added by François Poulain 12 months ago. Updated 15 days ago.

Status:
Nouveau
Priority:
Normale
Category:
-
Target version:
Start date:
04/26/2020
Due date:
% Done:

0%

Estimated time:
Difficulté:
2 Facile

Description

J'ai régulièrement des blague du genre :

@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@    WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED!     @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY!
Someone could be eavesdropping on you right now (man-in-the-middle attack)!
It is also possible that a host key has just been changed.
The fingerprint for the ECDSA key sent by the remote host is
SHA256:Y4VJta0pCoebsbPvX4N/D6L6+gs/fEQpu25vrkR44sI.
Please contact your system administrator.
Update the SSHFP RR in DNS with the new host key to get rid of this message.

Ça fait pas très sérieux. :)

History

#1

Updated by Christian P. Momon 12 months ago

Depuis 2016, ni les clés, ni les déclarations SSHFP DNS n'ont été modifiées.
Du coup, pourquoi les valeurs du DNS ne sont plus bonnes ?
À quelle occasion ce message d'avertissement ?

#2

Updated by Quentin Gibeaux 7 months ago

  • Assignee set to François Poulain
#3

Updated by Quentin Gibeaux 7 months ago

  • Target version changed from Backlog to Septembre 2020
#4

Updated by Quentin Gibeaux 7 months ago

  • Target version changed from Septembre 2020 to Octobre 2020
#5

Updated by Quentin Gibeaux 6 months ago

  • Target version changed from Octobre 2020 to Novembre 2020
#6

Updated by Quentin Gibeaux 5 months ago

  • Target version changed from Novembre 2020 to Décembre 2020
#7

Updated by François Poulain 5 months ago

Christian P. Momon a écrit :

Depuis 2016, ni les clés, ni les déclarations SSHFP DNS n'ont été modifiées.
Du coup, pourquoi les valeurs du DNS ne sont plus bonnes ?

Je ne sais plus mais je crois que les host keys ont changé entre temps.

À quelle occasion ce message d'avertissement ?

Il faut ajouter -o VerifyHostKeyDNS=ask à ton client. Chez moi je l'avait en config globale. C'est un peu l'équivalent de DANE mais pour ssh. Sans recours à DNSSEC c'est d'un intérêt mineur. Mais avec l'arrivée de DoH/DoT ça peut avoir un intérêt certain (j'ai pas creusé).

#8

Updated by Quentin Gibeaux 4 months ago

  • Target version changed from Décembre 2020 to Janvier 2021
#9

Updated by Quentin Gibeaux 3 months ago

  • Target version changed from Janvier 2021 to Février 2021
#10

Updated by Quentin Gibeaux about 2 months ago

  • Target version changed from Février 2021 to Mars 2021
#11

Updated by Quentin Gibeaux 15 days ago

  • Target version changed from Mars 2021 to Avril 2021

Also available in: Atom PDF