On Mon, Sep 16, 2019 at 12:20:44PM +0200, Julien Escario <julien.esca...@altinea.fr> wrote a message of 134 lines which said:
> > [Note politique : la vraie motivation des FAI qui proposent cela > > est de prétendre « on a du DoH ».] > > Ou de mutualiser les requêtes d'un grand nombre de clients sur un > seul (ou un pool de) resolver DoH de façon à 'noyer' le trafic pour > qu'il soit inexploitable en terme de vie privée ? Et quel intérêt a DoH, dans ce cas, par rapport à DoT ou le classique DNS-sur-UDP ? (Par ailleurs, cet argument perd toute pertinence si le résolveur DNS en question fait de l'ECS <https://www.bortzmeyer.org/7871.html>.) > > > Parce qu'on peut en dire ce que l'on veut, actuellement, il > > > n'existe aucun moyen de prévenir un OS client qu'il dispose d'un > > > serveur DoH/DoT utilisable sur le réseau de l'opé/l'entreprise. > > > > Heureusement, car cela ne servirait à rien (ou plutôt à pas > > grand'chose). > > Une utilisation que je vois à l'instant : se protéger contre un hack du > CPE qui permettrait d'y rajouter un DNS menteur ? Comme c'est en général le CPE qui fait serveur DHCP, je ne vois pas le gain. > J'anticipe simplement sur le moment au les gars de systemd-resolved > vont annoncer qu'ils utilisent le DoH de Google par défaut si aucun > autre n'est défini. Déjà fait <https://bugs.debian.org/761658> > Mais l'idée de faire confiance à son résolveur local (maîtrisable) > qui est lui même capable de résoudre avec DoH me paraît une chose > intéressante à atteindre, en particulier si DNSSEC décolle. Oui, et c'est justement le but de Stubby <https://dnsprivacy.org/wiki/display/DP/About+Stubby>. > Mais comment donner l'adresse du serveur à ton CPE ? Il faut bien qu'il > ai (aussi) la possibilité de le récupérer de manière un minimum > dynamique non ? Non, justement non. Tout ce qui touche à la sécurité doit être défini de manière statique. Exemple DNSSEC : on ne va pas récupérer la clé de la racine en DHCP. Exemple ROA : on ne va pas récupérer les clés des dépôts RPKI dynamiquement. > Tout ça pour dire que la peinture sur tout ça n'est vraiment pas > sèche Mais si. > > PS : https://doh.bortzmeyer.fr/, si vous voulez tester. Je promets > > qu'il n'y a pas de logs, puisque je n'ai pas compris comment les > > activer. > > Et je suis censé te faire confiance ? Justement, c'est pour cela qu'il faut beaucoup de résolveurs DoH. Chacun choisit celui à qui il fait confiance. (Si on ne fait confiance à personne, autant aller vivre sur une ile déserte.) --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
