Le 6 septembre dernier, Mozilla a annoncé l'activation du protocole #DoH par défaut dans leur navigateur Firefox. (Et, même si ce n'est pas explicite, il est prévu que ce soit par défaut avec le résolveur de Cloudflare.) Cette annonce a suscité beaucoup de discussions, souvent confuses et mal informées. Cet article a pour but d'expliquer la question de DoH, et de clarifier le débat.
@herve_02 Non. Ce résumé est du n'importe quoi.
Alors si le maître le dit, je m'incline.
Donc, il y aura une option facilement changeable dans firefox (dans la page des préférences) et une explication ou trouver d'autres résolveurs.
Un peu "cachée" (paramètres, puis paramètres de connexion), mais disponible.
Sans titre.png
alors j'ai été mauvaise langue
J'ai une vraie question. Pourquoi cacher la requête dns au FAI alors qu'il nous verra contacter le domaine ?
Si le soucis c'est le dns menteur, il suffit de changer de dns.
Qu'est ce que cela change de cacher la résolution de domaine si on est bien obligé de se servir de son fai pour y accéder ?
@herve_02 @AntoineVe Première question. : non, il ne verra pas (enfin, il reste le SNI de TLS mais, un jour, on arrivera bien à le chiffrer).
Donc si j'ai compris. si je contacte toto.com par https, le FAI par qui la requête transite ne sait pas que je vais voir toto.com.
en clair son routeur, ne route pas vers toto.com ?
Le route route vers une IP, probablement plutôt vers un autre routeur qui annonce qu'il connaît cette IP. Le nom de domaine n'est plus dans la partie, modulo le SNI
ok, mais globalement comme l'IP correspond à un domaine en connaissant l'IP on connaît le domaine non ?
quelle différence entre voir passer 89.234.146.136
et antoineve.me ?
D'ailleurs dans les logs d'un serveur on peut faire de la résolution dns inverse. Donc je n'arrive pas à voir la différence.
Une IP peut pointer vers plusieurs domaines.
Si tu fait la résolution inverse (le PTR) de 89.234.146.136, tu obtiens arcturus.antoineve.me.
Pourtant mail.van-elstraete.net ou wiki.antoineve.me pointent vers 89.234.146.136.
Bien entendu, un nom de domaine peut pointer vers différentes IP :)
cloudflare.com : 198.41.214.162 et 198.41.215.162
ui ui
mais il suffit de router 198.41.214.162 pour savoir que c'est cloudfare.
ok pour les sous domaines hébergés par des serveurs différents.
ca cache un peu. effectivement. ou plein de domaines sur la même ip.
@herve_02 @AntoineVe Rienà voir avec le fait qu'il s'agisse de sous-domaines d'un même domaine de deuxième niveau.
Sur 5.196.66.41, il y a reseaujaune.com mais aussi mcast.fr., ezbook.me, bougnatlibre.org, etc
@herve_02 @AntoineVe Deuxième question : changer de résolveur est précisément ce qu'on fait avec DoH.
non, on ne change pas de résolveur, on change de système.
Pourquoi pas. même si j'ai plus confiance en mon fai qu'en cloufare.
Parce que c'est remettre entre les mains d'une seule personne TOUTES les requêtes dns de tous les utilisateur de firefox en france, pour éviter la surveillance. c'est cela ?
Avant elles étaient partagés par les opérateurs (historiques ou associatifs) maintenant ce sera le même acteur.
J'ai bon ou c'est encore du n'importe quoi ?
@bortzmeyer Merci pour cet article très intéressant 👍
@bortzmeyer Pour moi le problème n'est vraiment pas lié à CloudFlare. Mozilla aurait choisi n'importe quel autre opérateur, même l'abbé Pierre ou mère Theresa transformés en serveurs DNS, que le problème reste entier. Au lieu de s'atteler au réel problème de fond difficile (l'interface avec les utilisateurs, leur éducation, etc.), Mozilla pousse tout le monde d'un écueil vers un autre. C'est comme tous ses forums qui disent "Mettez 8.8.8.8 en résolveur et tout est résolu(!)".
@pmevzek Là, c'est un problème politique classique, la dialectique du court et du long terme. Des fois, les deux s'opposent...
@bortzmeyer Tu devrais peut-être préciser dans le dernier point que le problème de la distance entre le client et le résolveur ne se pose pas vraiment avec Cloudflare car les serveurs de celui-ci sont répartis dans le monde.
@changaco Mais je n'ai pas parlé de ce point, il me semble.
@bortzmeyer Dans le dernier point du billet tu dis que le fait que le résolveur ne soit pas géographiquement proche du client peut poser problème. Tu dis aussi qu'il existe une solution technique mais qu'elle est problématique pour la vie privée et que Cloudflare ne l'utilise pas. Ce que tu ne dis pas, c'est que Cloudflare n'a pas vraiment besoin d'utiliser cette solution problématique, car ses serveurs sont répartis à travers le monde, et donc que la distance géographique entre le client et le résolveur est faible dans la plupart des cas.
@changaco Ah oui, je vois. Oui, ça peut marcher, *si* le résolveur de Cloudflare fait ses requêtes directement au serveur faisant autorité, pas si les différentes instances de 1.1.1.1 centralisent leurs requêtes sortantes.
@bortzmeyer C'est vrai qu'il faudrait vérifier que les requêtes aux serveurs faisant autorité ne sont pas envoyées avec 1.1.1.1 comme adresse IP source.
Je ne pense pas qu'elles soient centralisées, Cloudflare est conçu pour que chaque groupe de serveurs soit indépendant des autres.
@changaco Non, ils n'utilisent pas 1.1.1.1 comme source (ce qui est logique : la réponse risquerait de revenir à une autre instance).
@bortzmeyer
Super article (comme d'hab) qui va me servir de référence synthétique factuelle dans toute ces discussions autour de #DoH et #Mozilla, plus émotionnelles qu'autre chose. De plus se servir de mythologie grecque pour résumer qu'avant tout, il ne faut pas tomber dans le manichéisme, est très efficace. Enfin, la pique envers #systemd est savoureuse et tellement priceless ;-)
@bortzmeyer
En clair, c'est bo, c'est technique et puis cloudfaire hein...
Donc si j'ai tout compris, tout le monde pousse à s'auto-héberger et arrive en même temps à centraliser les requêtes dns (qui par conception sont décentralisées) . Par défaut dans un navigateur, Par défaut, probablement sans changement possible _facile_ pour un utilisateur lambda. Et comme cloudfare est le new don't be evil c'est cool.
J'ai bon ?