Techniquement j'ai pas compris comment ça marche ?
@LienRag Firefox essaie de résoudre use-application-dns.net avec le résolveur par défaut. Si il récupÚre NXDOMAIN (domaine non existant), il débraye DoH : plus de sécurité et plus de vie privée. Ce « domaine canari » a été créé par Mozilla en réponse aux exigences des FAI, qui avaient beaucoup lobbyé pour ce « kill switch ».
C'est pas le contraire de ce qu'est un canari (et de ce que devrait faire Firefox) ?
Firefox donne au FAI la possibilité de bloquer DoH alors que le but de DoH est d'éviter les DNS menteurs des FAI ?
@LienRag @bortzmeyer sauf que les dns ne sont pas forcément fournis par les fai.
Et que faire les requĂȘtes d'un intranet chez cloudflare c'est plutĂŽt crade
@bortzmeyer @R1Rail @LienRag bah j'ai pas plus confiance en cloudflare qui en plus a déjà plein d'informations sur les sites visités
@bortzmeyer @R1Rail @LienRag sauf que tu rùles sur ce qui n'est qu'une option par défaut, plus facile à désactiver que mettre son propre resolveur DoH
Ah il est désactivable le canari méchant ?
@LienRag @R1Rail @bortzmeyer Il me semble, ou en choisissant la bonne valeur pour la préférence de firefox, celle qui a un nom à la CO qui n'a rien à voir avec DoH.
@bortzmeyer @R1Rail @LienRag Donc c'est encore plus simple que de monter son propre rĂ©solveur DoH qui doit ĂȘtre accessible de partout et en accĂšs public pour fonctionner.
@bortzmeyer La derniĂšre fois que j'avais regardĂ© c'Ă©tait le cas; Sans compter que monter un DoH Ă©tait quand mĂȘme une bonne grosse saloperie Web bourrĂ© de librairies incontrolĂ©es.
@R1Rail N'importe quoi. (Et je sais de quoi je parle, moi, je gĂšre un serveur DoH. )
@bortzmeyer @R1Rail Ah ? tu as une doc pour en monter un ? J'ai dĂ©jĂ un nginx et un unbound qui tournent, ça devrait ĂȘtre simple alors ?
@R1Rail ldd trouve 34 bibliothĂšques (dont la libc et le loader). Pour un programme moderne, ce n'est pas beaucoup :-)
@bortzmeyer @R1Rail Et vu que tu es seul utilisateur sur ton rĂ©solveur DoH et que lui fais ses requĂȘtes en clair tu es tout aussi espionnable que sans. Tu n'as rien gagnĂ©. Le DoH te protĂšge uniquement parce que tu es au milieu de la foule, ce qui impose la centralisation, et donc un acteur qui lui va ĂȘtre en premiĂšre place pour t'espionner.
@R1Rail @bortzmeyer C'est plus ou moins vrai, ou en tout cas plus compliquĂ© que ca, donc ca ne tient pas dans un toot.Le serveur DoH utilisĂ© peut ĂȘtre un serveur virtuel/physique dans un nuage, et donc les requĂȘtes qu'il fera seront noyĂ©es parmi plein d'autres.Il est toujours important de d'abord spĂ©cifier contre quoi on veut se protĂ©ger, de lĂ dĂ©coulent les dĂ©fenses. Il y a aussi les promoteurs de l'usage de plusieurs rĂ©solveurs et rĂ©partir les requĂȘtes entre. Sans compter la QNAME minimization
@R1Rail Les requĂȘtes sortantes sont en clair, mais QNAME minimisation + cache amĂ©liorent les choses. Et je ne suis pas le seul utilisateur. L'opposition binaire rĂ©solveur strictement individuel vs. gros GAFA est absurde.
@bortzmeyer @R1Rail tu utilises quel logiciel pour le serveur DoH?
@bortzmeyer @R1Rail @LienRag Il faut coder Ă la main l'en-tĂȘte. De fait il faut donc un rĂ©solveur public.
Sans parler des options liées et de leur (non ?) documentation, mais ça c'est standard chez mozilla
@bortzmeyer @R1Rail @LienRag n'ayant pas de serveur DoH demandant authentification (et ta solution marchera pas chez moi j'ai déjà nginx sur le 443) je ne vois pas comment tester.
Et lĂ on retombe sur le manque de doc accessible de Mozilla
@bortzmeyer @R1Rail @LienRag Pas trouvé sur mon Firefox Android. Je chercherai sur le Linux quand je l'aurai booté.
@bortzmeyer @R1Rail @LienRag Mettre network.trr.mode Ă 5 (l'option en question) reste plus sĂ»r que l'interface. đ€ (question de confiance dans la zoli interface â placĂ©e dans GĂ©nĂ©ral/ParamĂštres RĂ©seaux et non Vie privĂ©e, d'ailleurs â a priori đ€)
@bortzmeyer @R1Rail @LienRag (en parlant de DoH - et surtout DoT - je vais bientÎt ouvrir mon résolveur public. Reste à terminer la doc et 2-3 trucs. #Teasing)
@R1Rail @LienRag @bortzmeyer Mozilla (mais Android fait la mĂȘme entourloupe) a effectivement dĂ©cidĂ© de parler de "Trusted Recursive Resolver" (et donc l'option s'appelle "trr" dans leur code), alors que ce n'est pas (juste) le transport qui permet de dire si on fait confiance Ă la partie en face ou pas (c'est bien pour cĂ que dans TLS, qui assure Ă la fois confidentialitĂ© et authentification, les deux aspects sont sĂ©parĂ©s mĂȘme si trĂšs souvent utilisĂ©s simultanĂ©ment)
@R1Rail @LienRag Les ayant-droits sont d'accord https://twitter.com/ebothorel/status/1232211946591703040
@R1Rail @LienRag @bortzmeyer Il y a un autre prestataire maintenant, NextDNS, et l'interface de Firefox permet de "choisir": https://blog.mozilla.org/blog/2019/12/17/firefox-announces-new-partner-in-delivering-private-and-secure-dns-services-to-users/ Ils ont des "critĂšres" pour tout autre prestataire qui veut y ĂȘtre: https://wiki.mozilla.org/Security/DOH-resolver-policy On notera, parmi diverses choses, l'absence de DNSSEC (on ne peut s'empĂȘcher de penser que cela vient de ceux qui pensent que DoH/DoT remplace DNSSEC en en remplissant le rĂŽle, ce qui est faut, comme TLS ou HTTPS ne remplacent pas DNSSEC)
@R1Rail @LienRag @bortzmeyer Firefox permet de spĂ©cifier une liste de domaines Ă exclure des requĂȘtes DoH vers leur choix de prestataire distant centralisĂ©. Cf https://support.mozilla.org/en-US/kb/firefox-dns-over-https#w_excluding-specific-domains
@R1Rail @LienRag Le canari avait en effet été marketé en prétendant que c'était pour les zentreprises qui voulaient avoir un résolveur « spécial ». Comme prévu, il est en fait utilisé par les FAI pour forcer le pessage par leurs résolveurs.