Bonjour les admins,

Je suis en train d'expérimenter DANE/TLSA (RFC6698) et je rencontre un problème que j'aimerai bien résoudre.

Si j'ai bien compris, un enregistrement TLSA de type 3 permettrait de se passer d'une AC connue du client pour assurer la protection des échanges entre un serveur et son client.

J'ai donc créer un certificat auto-signé, configuré mon NGINX (v1.2.6) pour présenter ce certificat. A partir de là, lorsque je me connecte au site, j'ai un message de Firefox (v23.0) qui me dit que ça ne lui va pas, le certificat est auto-signé (sec_error_untrusted_issuer). Ok pour moi, l'enregistrement TLSA n'existe pas encore...

Ensuite, je dégaine Swede (https://github.com/pieterlexis/swede) et j'extrais le RR que je vais ajouter dans ma zone, je l'ajoute, je signe la zone et je vérifie :

$ dig +short _443._tcp.www.liopen.eu TLSA 3 0 1 1BB87F79788F47D4EDB5B270B0F32460925E7B270024C176F47DE51B BE871DA6

$ swede verify www.liopen.eu [...] SUCCESS (usage 3): The certificate offered by the server matches the TLSA record [...]

Là, je me dis que c'est bon. Je relance mon Firefox et paf! même page d'erreur. (sec_error_untrusted_issuer)

J'ai testé avec Chrome, même punition.

J'ai également testé avec les sites du programme Deploy360 (http://www.internetsociety.org/deploy360/resources/dane-test-sites/) mais entre les domaines qui sont volontairement boiteux et ceux qui valident car l'AC est reconnue, ça laisse planer le doute.

Les extensions DANE Patrol et Extended DNSSEC Validator ne savent que me dire que le certificat est auto-signé (merci Captain Obvious!)

Ma question : est-ce que c'est moi qui n'est rien compris ou le support de TLSA (usage type 3) dans les navigateurs est encore en chantier ?

Merci par avance, Denis