Re: [FRnOG] [tech]interrogations sur doh
On 17/09/2019 11:19, Julien Escario wrote: Le 17/09/2019 à 11:09, Pierre Colombier a écrit : Bonjour, J'ai regardé la vidéo de Stéphane sur DOH. (mais j'ai pas lu la RFC) Le premier truc qui me viens à l'esprit c'est un problème de poule et d'oeuf. Le résolveur DOH est une URL => comment résout-on cette url ? il y a une liste d'IP résolveurs DOH ? un peu comme il y a une liste de DNS root ? si oui ou est-elle ? et peut-on la modifier facilement ? Rhalala, fallait venir vendredi dernier, je l'ai posée celle là ;-) En gros, pour résoudre l'URL, on utilise ... DNS ! (aka du bon vieux UDP/53). J'ai eu un décrochement de machoire un instent... mais non, tout va bien. Le cas ou on aurait traffiqué cette première requete est géré par le certificat http. Il va falloir intégrer que l'utilisateur 'lambda' passe par DoH même si ce n'est pas ton cas. En fait, je m'en fiche pas mal de comment les usagers lambda font leur résolutions DNS du moment qu'ils ne viennent pas m'emmerder avec. Mes routeurs ont un proxy que je pousse par DHCP pour rendre service mais en fait ils font bien comme il veulent. C'est pas mon problème... Il y en a un certain nombre qui préfèrent mettre 8.8.8.8 non pas à cause d'un légitime problème de confiance mais parce qu'ils ont lu dans une feuille de chou que c'était mieux. Par contre, j'entends que mon navigateur m'obéisse. Et à chaque fois qu'il va quand même taper le vieux serveur alors que ping tappe le bon, je fais une crise d'urticaire. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [tech]interrogations sur doh
On 17/09/2019 11:35, Étienne wrote: Je n'aime pas non plus que mon navigateur utilise sa propre suite de certificats SSL root alors que l'OS a sa propre liste. bien vu. C'est effectivement du même ordre. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [tech]interrogations sur doh
On Tue, 17 Sep 2019 11:09:06 +0200 Pierre Colombier wrote: > Bonjour, Salut, > Le résolveur DOH est une URL => comment résout-on cette url ? Quand l'url, c'est https://1.1.1.1 ou https://8.8.8.8, pas besoin de résolveur. ;-) > Déjà que le fait que les navigateur emploient leur propre cache est > un problème lourd pour le débogage depuis des années. ça promet > d'empirer considérablement. Je n'aime pas non plus que mon navigateur utilise sa propre suite de certificats SSL root alors que l'OS a sa propre liste. -- Étienne Labaume Network Engineer Cloudflare - AS13335 --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [tech]interrogations sur doh
Le 17/09/2019 à 11:09, Pierre Colombier a écrit : > Bonjour, > > J'ai regardé la vidéo de Stéphane sur DOH. (mais j'ai pas lu la RFC) > > Le premier truc qui me viens à l'esprit c'est un problème de poule et > d'oeuf. > > Le résolveur DOH est une URL => comment résout-on cette url ? > > il y a une liste d'IP résolveurs DOH ? un peu comme il y a une liste de > DNS root ? > > si oui ou est-elle ? et peut-on la modifier facilement ? Rhalala, fallait venir vendredi dernier, je l'ai posée celle là ;-) En gros, pour résoudre l'URL, on utilise ... DNS ! (aka du bon vieux UDP/53). > Sinon, ce que je trouve dérangeant c'est pas le protocole lui même, > c'est que les navigateurs n'utilisent plus le résolveur local. (lequel > pourrait très bien faire du DOH). cf les échanges d'hier dans lequel Bortz indique que ce n'est pas vraiment une bonne idée. Je ne suis pas certain d'avoir tout à fait compris pourquoi mais je pense qu'il s'agit surtout de se poser les bonnes questions. > Déjà que le fait que les navigateur emploient leur propre cache est un > problème lourd pour le débogage depuis des années. ça promet d'empirer > considérablement. Comparaison intéressante : les browsers intègrent tout un tas de techniques qui permettent de bypasser le cache pour le power user ou l'admin. Ca semble prendre le même chemin pour DoH. Il va falloir intégrer que l'utilisateur 'lambda' passe par DoH même si ce n'est pas ton cas. Mais pour le moi, le problème est plus sur le fait que les navigateurs prennent de plus en plus de place dans la rédaction et l'adoption des standards du web (SPDY, SNI, DoH) et qu'ils sont clairement en passe de remplacer les organismes collaboratifs type IETF voire IEEE. Julien --- Liste de diffusion du FRnOG http://www.frnog.org/
