From 65758d55aae1aceaeecc80ccf61480ee2811b107 Mon Sep 17 00:00:00 2001 From: Daniel Jakots Date: Wed, 6 Dec 2017 15:01:27 -0500 Subject: [PATCH] soyons explicite sur le fait qu'on utilise pas de contrainte --- HowtoNTP.md | 5 ++--- 1 file changed, 2 insertions(+), 3 deletions(-) diff --git a/HowtoNTP.md b/HowtoNTP.md index c7ccfb84..b372980e 100644 --- a/HowtoNTP.md +++ b/HowtoNTP.md @@ -105,11 +105,10 @@ Il est installé et lancé par défaut avec une configuration minimale via le fi ~~~ servers pool.ntp.org - -constraints from "https://www.google.com/" +#constraints from "https://www.google.com/" ~~~ -Le démon d'OpenBSD a une fonctionnalité supplémentaire : il sait demander la date à un serveur https via TLS. Cela ne permet pas d'améliorer la précision mais rajoute une contrainte sur la date synchronisée et réduit ainsi la possibilité d'une attaque man in the middle (MITM) sur le protocole NTP lui-même. Les paquets NTP n'étant pas en accord avec la contrainte sont ignorés et le serveur NTP dont ils proviennent est marqué comme invalide. +Le démon d'OpenBSD a une fonctionnalité supplémentaire : il sait demander la date à un serveur https via TLS. Cela ne permet pas d'améliorer la précision mais rajoute une contrainte sur la date synchronisée et réduit ainsi la possibilité d'une attaque man in the middle (MITM) sur le protocole NTP lui-même. Les paquets NTP n'étant pas en accord avec la contrainte sont ignorés et le serveur NTP dont ils proviennent est marqué comme invalide. Néanmoins on préfère éviter de signifier à google la présence d'une machine OpenBSD et donc on commente cette directive. À noter que par défaut, la synchronisation NTP est lente, il faudra plusieurs minutes voire heures si votre horloge a un fort décalage.