Post 9nFSJeyrQ8iJohdABs by Chocobozzz@framapiaf.org
(DIR) More posts by Chocobozzz@framapiaf.org
(DIR) Post #9nFH3FIU2p7U21mOx6 by bortzmeyer@mastodon.gougere.fr
2019-09-24T10:57:05Z
0 likes, 1 repeats
Le 6 septembre dernier, Mozilla a annoncé l'activation du protocole #DoH par défaut dans leur navigateur Firefox. (Et, même si ce n'est pas explicite, il est prévu que ce soit par défaut avec le résolveur de Cloudflare.) Cette annonce a suscité beaucoup de discussions, souvent confuses et mal informées. Cet article a pour but d'expliquer la question de DoH, et de clarifier le débat.https://www.bortzmeyer.org/doh-et-ses-adversaires.html#viePrivée #gouvernanceInternet
(DIR) Post #9nFJ3lE9WqkCyB7x0S by herve_02@reseaujaune.com
2019-09-24T11:19:29Z
0 likes, 0 repeats
@bortzmeyer En clair, c'est bo, c'est technique et puis cloudfaire hein...Donc si j'ai tout compris, tout le monde pousse à s'auto-héberger et arrive en même temps à centraliser les requêtes dns (qui par conception sont décentralisées) . Par défaut dans un navigateur, Par défaut, probablement sans changement possible _facile_ pour un utilisateur lambda. Et comme cloudfare est le new don't be evil c'est cool.J'ai bon ?
(DIR) Post #9nFKGV471u9eYy4MiW by wallace@mamot.fr
2019-09-24T11:33:05Z
0 likes, 0 repeats
@bortzmeyerY a un usage pas prévu c'est le cas des vies dns en entreprise. J'ai déjà 5 clients qui dans l'urgence ont du désactiver le DOH car tous les sites internes n'étaient plus résolus. Personnellement le fait que ça passe over https me dérange, j'aurais préférer à pousser sur DOTls. Mozilla en imposant un vrai protocole aurait pu faire changer justement le filtrage http only qu'on voit partout.
(DIR) Post #9nFKepEtfuoC56iGtE by bortzmeyer@mastodon.gougere.fr
2019-09-24T11:37:30Z
0 likes, 0 repeats
@herve_02 Non. Ce résumé est du n'importe quoi.
(DIR) Post #9nFKkDBa4Oc3nXjL5k by herve_02@reseaujaune.com
2019-09-24T11:38:27Z
0 likes, 0 repeats
@bortzmeyer Alors si le maître le dit, je m'incline.Donc, il y aura une option facilement changeable dans firefox (dans la page des préférences) et une explication ou trouver d'autres résolveurs.
(DIR) Post #9nFKopL2A66vHgLvX6 by bortzmeyer@mastodon.gougere.fr
2019-09-24T11:39:18Z
0 likes, 0 repeats
@wallace Non. Aucune chance que les gérants de réseaux (qui sont tous sourds et aveugles) changent. L'utilisateur aurait juste dit « ça marche pas », et serait passé sur Chrome.
(DIR) Post #9nFL2ykXy0cIWm2BYe by herve_02@reseaujaune.com
2019-09-24T11:41:45Z
0 likes, 0 repeats
@bortzmeyer Parce que c'est remettre entre les mains d'une seule personne TOUTES les requêtes dns de tous les utilisateur de firefox en france, pour éviter la surveillance. c'est cela ?Avant elles étaient partagés par les opérateurs (historiques ou associatifs) maintenant ce sera le même acteur.J'ai bon ou c'est encore du n'importe quoi ?
(DIR) Post #9nFOyjtzcz3L8XgczY by AntoineVe@pleroma.antoineve.me
2019-09-24T11:44:00.713229Z
0 likes, 0 repeats
@herve_02 @bortzmeyer Un peu "cachée" (paramètres, puis paramètres de connexion), mais disponible.Sans titre.png
(DIR) Post #9nFOykSjXoqGsHwN8q by herve_02@reseaujaune.com
2019-09-24T11:50:07Z
0 likes, 0 repeats
@AntoineVe @bortzmeyer alors j'ai été mauvaise langue
(DIR) Post #9nFOyko0Gjr7wFtMIK by herve_02@reseaujaune.com
2019-09-24T12:16:56Z
0 likes, 0 repeats
@AntoineVe @bortzmeyer J'ai une vraie question. Pourquoi cacher la requête dns au FAI alors qu'il nous verra contacter le domaine ?Si le soucis c'est le dns menteur, il suffit de changer de dns.Qu'est ce que cela change de cacher la résolution de domaine si on est bien obligé de se servir de son fai pour y accéder ?
(DIR) Post #9nFOyl6n8ssusWgMa0 by bortzmeyer@mastodon.gougere.fr
2019-09-24T12:25:40Z
0 likes, 0 repeats
@herve_02 @AntoineVe Première question. : non, il ne verra pas (enfin, il reste le SNI de TLS mais, un jour, on arrivera bien à le chiffrer).
(DIR) Post #9nFP137l8E25KeE8no by bortzmeyer@mastodon.gougere.fr
2019-09-24T12:26:18Z
0 likes, 0 repeats
@herve_02 @AntoineVe Deuxième question : changer de résolveur est précisément ce qu'on fait avec DoH.
(DIR) Post #9nFPAnPMQ0zxU96j5s by herve_02@reseaujaune.com
2019-09-24T12:28:04Z
0 likes, 0 repeats
@bortzmeyer @AntoineVe Donc si j'ai compris. si je contacte toto.com par https, le FAI par qui la requête transite ne sait pas que je vais voir toto.com.en clair son routeur, ne route pas vers toto.com ?
(DIR) Post #9nFPREv9tUuDRqp0d6 by herve_02@reseaujaune.com
2019-09-24T12:31:02Z
0 likes, 0 repeats
@bortzmeyer @AntoineVe non, on ne change pas de résolveur, on change de système.Pourquoi pas. même si j'ai plus confiance en mon fai qu'en cloufare.
(DIR) Post #9nFSJeyrQ8iJohdABs by Chocobozzz@framapiaf.org
2019-09-24T13:03:16Z
0 likes, 0 repeats
@bortzmeyer Merci pour cet article très intéressant 👍
(DIR) Post #9nFSdoQhzy7iulGXVA by AntoineVe@pleroma.antoineve.me
2019-09-24T12:31:15.912035Z
0 likes, 0 repeats
@herve_02 @bortzmeyerLe route route vers une IP, probablement plutôt vers un autre routeur qui annonce qu'il connaît cette IP. Le nom de domaine n'est plus dans la partie, modulo le SNI
(DIR) Post #9nFSdocPITTtV2jsjg by herve_02@reseaujaune.com
2019-09-24T12:37:21Z
0 likes, 0 repeats
@AntoineVe @bortzmeyer ok, mais globalement comme l'IP correspond à un domaine en connaissant l'IP on connaît le domaine non ?quelle différence entre voir passer 89.234.146.136et antoineve.me ?D'ailleurs dans les logs d'un serveur on peut faire de la résolution dns inverse. Donc je n'arrive pas à voir la différence.
(DIR) Post #9nFSdotmFtNMMurkoK by AntoineVe@pleroma.antoineve.me
2019-09-24T12:41:36.691068Z
0 likes, 0 repeats
@herve_02 @bortzmeyer Une IP peut pointer vers plusieurs domaines.Si tu fait la résolution inverse (le PTR) de 89.234.146.136, tu obtiens arcturus.antoineve.me.Pourtant mail.van-elstraete.net ou wiki.antoineve.me pointent vers 89.234.146.136.
(DIR) Post #9nFSdp3LgJ22qbLOjI by herve_02@reseaujaune.com
2019-09-24T12:56:18Z
0 likes, 0 repeats
@AntoineVe @bortzmeyer ok pour les sous domaines hébergés par des serveurs différents.ca cache un peu. effectivement. ou plein de domaines sur la même ip.
(DIR) Post #9nFSdpFOxUfnRyz1W4 by bortzmeyer@mastodon.gougere.fr
2019-09-24T13:06:43Z
0 likes, 0 repeats
@herve_02 @AntoineVe Rienà voir avec le fait qu'il s'agisse de sous-domaines d'un même domaine de deuxième niveau. Sur 5.196.66.41, il y a reseaujaune.com mais aussi mcast.fr., ezbook.me, bougnatlibre.org, etc
(DIR) Post #9nFSgp5vyzcNqTz5aC by herve_02@reseaujaune.com
2019-09-24T13:07:29Z
0 likes, 0 repeats
@bortzmeyer @AntoineVe C'est pour cela qu'il y avait écrit"ou plein de domaines sur la même ip."
(DIR) Post #9nFUGWCln937dglZey by flynn@hostux.social
2019-09-24T13:24:57Z
0 likes, 0 repeats
@bortzmeyer J'utilise plus 20 resolver DNS différents sur DoT. Avec mozilla un seul que je n'ai pas choisi de configurer. La seule raison pour que j'utilise encore cette merde, c'est parce que c'est le moins pire de tous.
(DIR) Post #9nFUPYVwZj83PK2nIG by bortzmeyer@mastodon.gougere.fr
2019-09-24T13:26:47Z
0 likes, 0 repeats
@flynn Pourquoi ne pas désactiver DoH, dans ce cas ?
(DIR) Post #9nFVagpY60poL65TKS by flynn@hostux.social
2019-09-24T13:39:50Z
0 likes, 0 repeats
@bortzmeyer C'était un exemple. Qu'est-ce qui se passe pour les services web en interne de l'entreprise ? Ils ne fonctionnent plus... GGQue DoT soit disponible, c'est cool. Que ça soit la conf de base, c'est les emmerdes assurées.
(DIR) Post #9nFiUjBvhhNTKQ2jhI by pmevzek@framapiaf.org
2019-09-24T16:04:36Z
0 likes, 1 repeats
@bortzmeyer Pour moi le problème n'est vraiment pas lié à CloudFlare. Mozilla aurait choisi n'importe quel autre opérateur, même l'abbé Pierre ou mère Theresa transformés en serveurs DNS, que le problème reste entier. Au lieu de s'atteler au réel problème de fond difficile (l'interface avec les utilisateurs, leur éducation, etc.), Mozilla pousse tout le monde d'un écueil vers un autre. C'est comme tous ses forums qui disent "Mettez 8.8.8.8 en résolveur et tout est résolu(!)".
(DIR) Post #9nFmMM2OIyW71AqOzw by changaco@mastodon.host
2019-09-24T16:47:50Z
0 likes, 0 repeats
@bortzmeyer Tu devrais peut-être préciser dans le dernier point que le problème de la distance entre le client et le résolveur ne se pose pas vraiment avec Cloudflare car les serveurs de celui-ci sont répartis dans le monde.
(DIR) Post #9nFobiieSQ3fcF49Oy by wallace@mamot.fr
2019-09-24T17:13:05Z
0 likes, 0 repeats
@bortzmeyerÇa se tient aussi mais ils savent bien discuter avec Google pour faire les mêmes options ou dégager des CA douteux au même moment. On aurait pu donc espérer. Quoi qu'il en soit Chrome ou FF en entreprise c'est le bordel ce DoH encore deux clients qui comprenaient pas pourquoi ça ne marchait plus aujourd'hui...
(DIR) Post #9nFxALdB5egpmGWotc by bortzmeyer@mastodon.gougere.fr
2019-09-24T18:48:58Z
0 likes, 0 repeats
@changaco Mais je n'ai pas parlé de ce point, il me semble.
(DIR) Post #9nFxEf8yU3lrSCSU1g by bortzmeyer@mastodon.gougere.fr
2019-09-24T18:49:45Z
0 likes, 0 repeats
@pmevzek Là, c'est un problème politique classique, la dialectique du court et du long terme. Des fois, les deux s'opposent...
(DIR) Post #9nH45MD6OzoqxorJq4 by gloutonbarjot@framapiaf.org
2019-09-25T07:41:11Z
0 likes, 0 repeats
@bortzmeyer Super article (comme d'hab) qui va me servir de référence synthétique factuelle dans toute ces discussions autour de #DoH et #Mozilla, plus émotionnelles qu'autre chose. De plus se servir de mythologie grecque pour résumer qu'avant tout, il ne faut pas tomber dans le manichéisme, est très efficace. Enfin, la pique envers #systemd est savoureuse et tellement priceless ;-)
(DIR) Post #9nHByzqPRdrLUbirDM by changaco@mastodon.host
2019-09-25T09:09:42Z
0 likes, 0 repeats
@bortzmeyer Dans le dernier point du billet tu dis que le fait que le résolveur ne soit pas géographiquement proche du client peut poser problème. Tu dis aussi qu'il existe une solution technique mais qu'elle est problématique pour la vie privée et que Cloudflare ne l'utilise pas. Ce que tu ne dis pas, c'est que Cloudflare n'a pas vraiment besoin d'utiliser cette solution problématique, car ses serveurs sont répartis à travers le monde, et donc que la distance géographique entre le client et le résolveur est faible dans la plupart des cas.
(DIR) Post #9nHCzv0Z0kt6jlTY8W by bortzmeyer@mastodon.gougere.fr
2019-09-25T09:21:05Z
0 likes, 0 repeats
@changaco Ah oui, je vois. Oui, ça peut marcher, *si* le résolveur de Cloudflare fait ses requêtes directement au serveur faisant autorité, pas si les différentes instances de 1.1.1.1 centralisent leurs requêtes sortantes.
(DIR) Post #9nHEVPzxwJsxmcmQWu by changaco@mastodon.host
2019-09-25T09:37:59Z
0 likes, 0 repeats
@bortzmeyer C'est vrai qu'il faudrait vérifier que les requêtes aux serveurs faisant autorité ne sont pas envoyées avec 1.1.1.1 comme adresse IP source.Je ne pense pas qu'elles soient centralisées, Cloudflare est conçu pour que chaque groupe de serveurs soit indépendant des autres.
(DIR) Post #9nHFBHvSLOmAuOdTuq by bortzmeyer@mastodon.gougere.fr
2019-09-25T09:45:33Z
0 likes, 0 repeats
@changaco Non, ils n'utilisent pas 1.1.1.1 comme source (ce qui est logique : la réponse risquerait de revenir à une autre instance).