Ah bon ? c'est pas comme ça depuis le tout début de DNS ?
Un petit coup de wireshark plus tard, et il semble "à l'oeil" que mon
résolveur soit déjà conforme à RFC7816.
pourtant, un
rgrep 'qname' /etc/bind
ne renvoie rien
Sinon, autant je trouve que techniquement c'est indiscutablement mieux,
autant je trouve que pour ce qui est du volet vie privée, c'est quand
même curieux ce modèle où on fait davantage confiance au résolveur
qu'aux serveurs racine alors que c'est quand même le résolveur qui est à
la fois le plus intéressé et le plus en mesure de faire une association
entre l'ip source d'une requête et un nom d'utilisateur.
Alors que de son coté le serveur racine (ou d'un TLD, ou d'une domaine
particulier) ne voit que l'ip source du résolveur.
On trouvera sans doute quelques contre-exemples mais dans le cas
général, j'ai du mal à voir le problème qu'il y a à savoir que 1 des N
clients de ce FAI a voulu consulter www.train.paris ? et pas seulement
quelque chose de "paris".
On 19/11/2021 15:11, Stephane Bortzmeyer wrote:
Si vous gérez un résolveur DNS, n'oubliez pas, pour préserver la vie
privée de vos clients, d'activer la minimisation des requêtes (« QNAME
minimisation »). Non, parce que, le RFC de norme (le précédent était
marqué comme expérimental) vient de sortir.
https://www.bortzmeyer.org/9156.html
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
