Différences

Ci-dessous, les différences entre deux révisions de la page.

--- kb:crypto:dane_tlsa [2018/03/07 20:33] – beu
+++ kb:crypto:dane_tlsa [2018/07/03 07:45] (Version actuelle) – [Vérifier une entrée] beu
@@ Ligne 7: / Ligne 7: @@
 ====Compatibilité avec Let's Encrypt====
-Une des spécificité de **certbot** est que à chaque renouvellement, le **CSR** est recréé et donc l'empreinte du certificat aussi. Ce qui voudrait dire qu'il faudrait donc changer l'entrée **DNS** tous les trois mois. Mais avec un peu de rigueur, et les bons arguments, on peut faire en sorte de garder ses clés publiques et donc permettre de garder ses enregistrement **TLSA** à chaque renouvellement. \\
+Une des spécificité de **certbot** est que à chaque renouvellement, le **CSR** est recréé et donc l'empreinte du certificat aussi. Ce qui voudrait dire qu'il faudrait donc changer l'entrée **DNS** tous les trois mois. Mais avec un peu de rigueur, et les bons arguments, on peut faire en sorte de garder ses clés publiques et donc permettre de garder ses enregistrement **TLSA** à chaque renouvellement. Certe un oubli n'est pas critique à l'heure d'aujourd'hui car non supporté par les navigateurs.\\
 Je vous renvoi vers [[kb:crypto:letsencrypt|Let's Encrypt]]
@@ Ligne 14: / Ligne 14: @@
 J'utilise l'outil **hash-slinger** qui permet de générer simplement ces enregistrements avec la commande suivante :
-<code>
+<code bash>
 # tlsa --create --usage 1 --selector 1 --mtype 2 --certificate /etc/letsencrypt/wiki.virtit.fr/live/cert.pem wiki.virtit.fr
 </code>
@@ Ligne 22: / Ligne 22: @@
 Pour vérifier une entrée, il taper :
-<code>
+<code bash>
 # tlsa --verify --port 443 wiki.virtit.fr
 </code>