Le 16/09/2019 à 11:44, Stephane Bortzmeyer a écrit : > On Mon, Sep 16, 2019 at 11:11:26AM +0200, > Julien Escario <julien.esca...@altinea.fr> wrote > a message of 63 lines which said: > >> Pour ceux qui ont décuité, je soumets la lecture d'un draft IETF visant >> à définir la déclaration d'un serveur DoH dans les réponses DHCP/RA : >> https://datatracker.ietf.org/doc/draft-peterson-doh-dhcp/ > > C'est vraiment une idée bizarre. Si on utilise DoH, c'est parce qu'on > ne fait pas confiance au réseau d'accès, son résolveur DNS et son > serveur DHCP. Faire du DoH avec le résolveur d'un FAI qui a un > résolveur DNS menteur n'a que guère d'intérêt. > > [Note politique : la vraie motivation des FAI qui proposent cela est de > prétendre « on a du DoH ».]
Ou de mutualiser les requêtes d'un grand nombre de clients sur un seul (ou un pool de) resolver DoH de façon à 'noyer' le trafic pour qu'il soit inexploitable en terme de vie privée ? (si on fait confiance à son FAI, pas forcément grozop) >> Parce qu'on peut en dire ce que l'on veut, actuellement, il n'existe >> aucun moyen de prévenir un OS client qu'il dispose d'un serveur DoH/DoT >> utilisable sur le réseau de l'opé/l'entreprise. > > Heureusement, car cela ne servirait à rien (ou plutôt à pas > grand'chose). Une utilisation que je vois à l'instant : se protéger contre un hack du CPE qui permettrait d'y rajouter un DNS menteur ? Mais on en revient à la problématique de split horizon qui va probablement faire que personne ne s'amusera à ça. J'anticipe simplement sur le moment au les gars de systemd-resolved vont annoncer qu'ils utilisent le DoH de Google par défaut si aucun autre n'est défini. >> Et pour ceux qui sont encore dans le brouillard, je propose un débat >> sur le support des résolveurs DoH dans vos CPE préférés type krotik, >> Cisco, Netgear, whatelse. Ca devrait nous occuper un moment. > > Un client DoH dans le CPE (s'il fait résolveur DNS), je vois > l'intérêt, mais un serveur ? Ce n'est pas sur le réseau local qu'est > l'adversaire. Je pensais effectivement à la partie client DNS du CPE. Dans tous les cas, le CPE ne pourrait pas avoir de certificat TLS valide (ou alors ce sera un calvaire à gérer). Mais l'idée de faire confiance à son résolveur local (maîtrisable) qui est lui même capable de résoudre avec DoH me paraît une chose intéressante à atteindre, en particulier si DNSSEC décolle. Mais comment donner l'adresse du serveur à ton CPE ? Il faut bien qu'il ai (aussi) la possibilité de le récupérer de manière un minimum dynamique non ? >> Tout ça pour dire que si on veut faire barrière à des choix douteux de >> browsers, il faut peut être se bouger pour proposer une alternative. > > L'alternative, ce sont des serveurs DoH gérés par des associations, > des syndicats, des ONG, des individus, etc. Et sur le même modèle que les root servers, c'est has-been ? *Pick one* Tout ça pour dire que la peinture sur tout ça n'est vraiment pas sèche et qu'un peu de retenue de la part des browsers serait la bienvenue. > PS : https://doh.bortzmeyer.fr/, si vous voulez tester. Je promets > qu'il n'y a pas de logs, puisque je n'ai pas compris comment les activer. Et je suis censé te faire confiance ? Davantage qu'à Cloudflare ? ;-) Julien
signature.asc
Description: OpenPGP digital signature