11.4. Services d'infrastructure
Les deux sites bind
et unbound
désactivent la validation des signatures basées sur SHA-1
Les composants bind
et unbound
désactivent la prise en charge de la validation de toutes les signatures RSA/SHA1 (algorithme numéro 5) et RSASHA1-NSEC3-SHA1 (algorithme numéro 7), et l'utilisation de SHA-1 pour les signatures est restreinte dans la politique cryptographique DEFAULT applicable à l'ensemble du système.
Par conséquent, certains enregistrements DNSSEC signés avec les algorithmes SHA-1, RSA/SHA1 et RSASHA1-NSEC3-SHA1 ne sont pas vérifiés dans Red Hat Enterprise Linux 9 et les noms de domaine concernés deviennent vulnérables.
Pour contourner ce problème, passez à un algorithme de signature différent, tel que RSA/SHA-256 ou des clés à courbe elliptique.
Pour plus d'informations et une liste des domaines de premier niveau concernés et vulnérables, voir la solution " DNSSEC records signed with RSASHA1 fail to verify" (enregistrements DNSSEC signés avec RSASHA1 sans vérification ).
named
ne démarre pas si le même fichier de zone inscriptible est utilisé dans plusieurs zones
BIND n'autorise pas l'utilisation du même fichier de zone inscriptible dans plusieurs zones. Par conséquent, si une configuration comprend plusieurs zones qui partagent un chemin d'accès à un fichier qui peut être modifié par le service named
, named
ne démarre pas. Pour contourner ce problème, utilisez la clause in-view
pour partager une zone entre plusieurs vues et veillez à utiliser des chemins différents pour les différentes zones. Par exemple, incluez les noms des vues dans le chemin d'accès.
Notez que les fichiers de zone inscriptibles sont généralement utilisés dans les zones où les mises à jour dynamiques sont autorisées, dans les zones esclaves ou dans les zones gérées par DNSSEC.
libotr
n'est pas conforme à la norme FIPS
La bibliothèque libotr
et la boîte à outils pour la messagerie off-the-record (OTR) fournissent un chiffrement de bout en bout pour les conversations de messagerie instantanée. Cependant, la bibliothèque libotr
n'est pas conforme aux normes FIPS (Federal Information Processing Standards) en raison de son utilisation des fonctions gcry_pk_sign()
et gcry_pk_verify()
. Par conséquent, vous ne pouvez pas utiliser la bibliothèque libotr
en mode FIPS.