Follow

RFC 9156: DNS Query Name Minimisation to Improve Privacy

Ce applique le principe de minimisation des données au DNS : il ne faut pas envoyer aux serveurs faisant autorité le nom de domaine complet mais seulement la partie du nom de domaine qui lui est strictement nécessaire pour répondre, le minimum.

bortzmeyer.org/9156.html

· · Web · 2 · 3 · 1

@bortzmeyer 🤔 mais à partir du moment où il y a le ptr, du coup, cela perd de sa saveur j'imagine?

@pierreozoux J'avoue ne pas comprendre la question, et je ne vois pas le rapport avec les enregistrements de type PTR.

@bortzmeyer imaginons je suis le serveur à qui on demande de résoudre:
- tartanpion.blabla.toto.fr

Si je comprends bien, on demande au dernier serveur juste de résoudre tartanpion? Et celui ci va répondre une IP, n'est-ce pas? J'ai bon jusque là?

Si le ptr record réponds que cette addresse IP est en fait tartanpion.blabla.toto.fr du coup, le dernier serveur, meme si il ne connait que l'IP pourra résoudre le nom de domaine complet. (Si j'ai bien compris)

@pierreozoux Déjà, quand on parle de DNS, il est très déconseillé de dire « serveur » tout court. Il y a en effet deux sortes de serveurs DNS, les résolveurs et les serveurs faisant autorité, et leurs propriétés sont très différentes. Il faut donc les traiter séparement.

Ensuite, non, la minimisation des requêtes part de la fin pas du début. Pour tartanpion.blabla.toto.fr, le résolveur enverra successivement fr puis toto.fr puis blabla.toto.fr puis enfin le nom complet.

@pierreozoux Quant à l'argument du PTR, si je le comprends bien, l'idée est que si un surveillant voit l'adresse IP, il pourra en déduire le nom ?

Si c'est ça, l'argument, alors, il ne marche pas :
- pas mal d'adresses n'ont pas de PTR
- pas mal d'adresses hébergent de nombreux services ("virtual hosting" pour HTTP)
- ce ne sont pas les mêmes surveillants qui peuvent regarder le trafic HTTP et le trafic DNS.

Tout ceci est détaillé dans le RFC 7626 bortzmeyer.org/7626.html

@bortzmeyer Ah tiens, ça fait longtemps que je n'ai pas fait de test de minimisation stricte avec Unbound. La dernière fois, en 2019, c'était des domaines de Nintendo utilisés pour les mises à jour de ses consoles qui m'avaient obligés à ne pas être strict. (Et sans doutes plein d'autres domaines cassés, mais je m'étais arrêté au 1er cas bloquant)

Sign in to participate in the conversation
Mastodon - Gougère Network

The social network of the future: No ads, no corporate surveillance, ethical design, and decentralization! Own your data with Mastodon!