Suivre

Le 6 septembre dernier, Mozilla a annoncé l'activation du protocole par défaut dans leur navigateur Firefox. (Et, même si ce n'est pas explicite, il est prévu que ce soit par défaut avec le résolveur de Cloudflare.) Cette annonce a suscité beaucoup de discussions, souvent confuses et mal informées. Cet article a pour but d'expliquer la question de DoH, et de clarifier le débat.

bortzmeyer.org/doh-et-ses-adve

@bortzmeyer
En clair, c'est bo, c'est technique et puis cloudfaire hein...

Donc si j'ai tout compris, tout le monde pousse à s'auto-héberger et arrive en même temps à centraliser les requêtes dns (qui par conception sont décentralisées) . Par défaut dans un navigateur, Par défaut, probablement sans changement possible _facile_ pour un utilisateur lambda. Et comme cloudfare est le new don't be evil c'est cool.

J'ai bon ?

@bortzmeyer

Alors si le maître le dit, je m'incline.

Donc, il y aura une option facilement changeable dans firefox (dans la page des préférences) et une explication ou trouver d'autres résolveurs.

@herve_02 @bortzmeyer

Un peu "cachée" (paramètres, puis paramètres de connexion), mais disponible.
Sans titre.png

@AntoineVe @bortzmeyer

J'ai une vraie question. Pourquoi cacher la requête dns au FAI alors qu'il nous verra contacter le domaine ?

Si le soucis c'est le dns menteur, il suffit de changer de dns.

Qu'est ce que cela change de cacher la résolution de domaine si on est bien obligé de se servir de son fai pour y accéder ?

@herve_02 @AntoineVe Première question. : non, il ne verra pas (enfin, il reste le SNI de TLS mais, un jour, on arrivera bien à le chiffrer).

@bortzmeyer @AntoineVe

Donc si j'ai compris. si je contacte toto.com par https, le FAI par qui la requête transite ne sait pas que je vais voir toto.com.

en clair son routeur, ne route pas vers toto.com ?

@herve_02 @bortzmeyer

Le route route vers une IP, probablement plutôt vers un autre routeur qui annonce qu'il connaît cette IP. Le nom de domaine n'est plus dans la partie, modulo le SNI

@AntoineVe @bortzmeyer

ok, mais globalement comme l'IP correspond à un domaine en connaissant l'IP on connaît le domaine non ?

quelle différence entre voir passer 89.234.146.136
et antoineve.me ?

D'ailleurs dans les logs d'un serveur on peut faire de la résolution dns inverse. Donc je n'arrive pas à voir la différence.

@herve_02 @bortzmeyer

Une IP peut pointer vers plusieurs domaines.

Si tu fait la résolution inverse (le PTR) de 89.234.146.136, tu obtiens arcturus.antoineve.me.

Pourtant mail.van-elstraete.net ou wiki.antoineve.me pointent vers 89.234.146.136.

@AntoineVe @bortzmeyer

ui ui

mais il suffit de router 198.41.214.162 pour savoir que c'est cloudfare.

@AntoineVe @bortzmeyer

ok pour les sous domaines hébergés par des serveurs différents.

ca cache un peu. effectivement. ou plein de domaines sur la même ip.

@herve_02 @AntoineVe Rienà voir avec le fait qu'il s'agisse de sous-domaines d'un même domaine de deuxième niveau.

Sur 5.196.66.41, il y a reseaujaune.com mais aussi mcast.fr., ezbook.me, bougnatlibre.org, etc

@bortzmeyer @AntoineVe

C'est pour cela qu'il y avait écrit

"ou plein de domaines sur la même ip."

@herve_02 @AntoineVe Deuxième question : changer de résolveur est précisément ce qu'on fait avec DoH.

@bortzmeyer @AntoineVe

non, on ne change pas de résolveur, on change de système.

Pourquoi pas. même si j'ai plus confiance en mon fai qu'en cloufare.

@bortzmeyer

Parce que c'est remettre entre les mains d'une seule personne TOUTES les requêtes dns de tous les utilisateur de firefox en france, pour éviter la surveillance. c'est cela ?

Avant elles étaient partagés par les opérateurs (historiques ou associatifs) maintenant ce sera le même acteur.

J'ai bon ou c'est encore du n'importe quoi ?

@bortzmeyer
Y a un usage pas prévu c'est le cas des vies dns en entreprise. J'ai déjà 5 clients qui dans l'urgence ont du désactiver le DOH car tous les sites internes n'étaient plus résolus. Personnellement le fait que ça passe over https me dérange, j'aurais préférer à pousser sur DOTls. Mozilla en imposant un vrai protocole aurait pu faire changer justement le filtrage http only qu'on voit partout.

@wallace Non. Aucune chance que les gérants de réseaux (qui sont tous sourds et aveugles) changent. L'utilisateur aurait juste dit « ça marche pas », et serait passé sur Chrome.

@bortzmeyer
Ça se tient aussi mais ils savent bien discuter avec Google pour faire les mêmes options ou dégager des CA douteux au même moment. On aurait pu donc espérer. Quoi qu'il en soit Chrome ou FF en entreprise c'est le bordel ce DoH encore deux clients qui comprenaient pas pourquoi ça ne marchait plus aujourd'hui...

@bortzmeyer J'utilise plus 20 resolver DNS différents sur DoT. Avec mozilla un seul que je n'ai pas choisi de configurer. La seule raison pour que j'utilise encore cette merde, c'est parce que c'est le moins pire de tous.

@bortzmeyer C'était un exemple. Qu'est-ce qui se passe pour les services web en interne de l'entreprise ? Ils ne fonctionnent plus... GG

Que DoT soit disponible, c'est cool. Que ça soit la conf de base, c'est les emmerdes assurées.

@bortzmeyer Pour moi le problème n'est vraiment pas lié à CloudFlare. Mozilla aurait choisi n'importe quel autre opérateur, même l'abbé Pierre ou mère Theresa transformés en serveurs DNS, que le problème reste entier. Au lieu de s'atteler au réel problème de fond difficile (l'interface avec les utilisateurs, leur éducation, etc.), Mozilla pousse tout le monde d'un écueil vers un autre. C'est comme tous ses forums qui disent "Mettez 8.8.8.8 en résolveur et tout est résolu(!)".

@pmevzek Là, c'est un problème politique classique, la dialectique du court et du long terme. Des fois, les deux s'opposent...

@bortzmeyer Tu devrais peut-être préciser dans le dernier point que le problème de la distance entre le client et le résolveur ne se pose pas vraiment avec Cloudflare car les serveurs de celui-ci sont répartis dans le monde.

@bortzmeyer Dans le dernier point du billet tu dis que le fait que le résolveur ne soit pas géographiquement proche du client peut poser problème. Tu dis aussi qu'il existe une solution technique mais qu'elle est problématique pour la vie privée et que Cloudflare ne l'utilise pas. Ce que tu ne dis pas, c'est que Cloudflare n'a pas vraiment besoin d'utiliser cette solution problématique, car ses serveurs sont répartis à travers le monde, et donc que la distance géographique entre le client et le résolveur est faible dans la plupart des cas.

@changaco Ah oui, je vois. Oui, ça peut marcher, *si* le résolveur de Cloudflare fait ses requêtes directement au serveur faisant autorité, pas si les différentes instances de 1.1.1.1 centralisent leurs requêtes sortantes.

@bortzmeyer C'est vrai qu'il faudrait vérifier que les requêtes aux serveurs faisant autorité ne sont pas envoyées avec 1.1.1.1 comme adresse IP source.

Je ne pense pas qu'elles soient centralisées, Cloudflare est conçu pour que chaque groupe de serveurs soit indépendant des autres.

@changaco Non, ils n'utilisent pas 1.1.1.1 comme source (ce qui est logique : la réponse risquerait de revenir à une autre instance).

@bortzmeyer
Super article (comme d'hab) qui va me servir de référence synthétique factuelle dans toute ces discussions autour de #DoH et #Mozilla, plus émotionnelles qu'autre chose. De plus se servir de mythologie grecque pour résumer qu'avant tout, il ne faut pas tomber dans le manichéisme, est très efficace. Enfin, la pique envers #systemd est savoureuse et tellement priceless ;-)

Inscrivez-vous pour prendre part à la conversation
Mastodon - Gougère Network

Vive les gougères ! mnt-by: @yapret @papaeng89