Je faisais référence au résolveur interne de la machine.
le mécanisme qui est appelé avec les fonction gethostbyname() par exemple.
Je suis d'accord avec toi sur le fait que tu peux ne pas faire confiance
à ton FAI.
Par contre, si tu ne fais pas confiance à ta propre machine, là, il faut
juste cesser de t'en servir.
Pour ce qui est de « si je me connecte en TLS au serveur de la Maison
Blanche, ça ne me garantit pas que Trump dira la vérité » On peut
retourner l'argument : je ne vois pas bien en quoi le resolveur de
google ou n'importe quel gros fournisseur serait tellement plus
respectable que celui de mon FAI.
Dernier petit point : avec toute cette sécurité, comment on va faire
pour dépanner vite fait quand le serveur DOH en top list du browser sera
en rade ?
(ce qui arrivera forcément un jour où l'autre)
On 17/09/2019 16:18, Stephane Bortzmeyer wrote:
Sinon, ce que je trouve dérangeant c'est pas le protocole lui même, c'est
que les navigateurs n'utilisent plus le résolveur local. (lequel pourrait
très bien faire du DOH).
Ben, c'est un peu le but. Si on a envie d'utiliser DoH ou DoT, c'est
qu'on ne fait pas confiance au réseau d'accès. Faire du DoH avec un
résolveur local en lequel on n'a pas confiance, c'est oublier la règle
numéro un de TLS « si je me connecte en TLS au serveur de la Maison
Blanche, ça ne me garantit pas que Trump dira la vérité ».
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
