Auteur Sujet: Mozilla active DNS over HTTPS par défaut dans Firefox... aux USA (Lu 27973 fois)

Marco POLO · « **Réponse #36 le:** 03 mars 2020 à 17:05:21 »

Citation de: buddy le 03 mars 2020 à 16:44:09

Je pense que tu confonds personnaliser le "Serveur DNS" qu'utilise le PC et avoir son propre résolveur DNS @ home.

Merci pour ta réponse: peux-tu m'expliquer quelle est la différence ? Merci d'avance.

Thornhill · « **Réponse #37 le:** 03 mars 2020 à 17:28:11 »

Citation de: Marco POLO le 03 mars 2020 à 17:05:21

quelle est la différence ?

https://www.bortzmeyer.org/dns-resolveurs-publics.html

Steph · « **Réponse #38 le:** 03 mars 2020 à 17:59:24 »

Citation de: doctorrock le 03 mars 2020 à 16:52:14

Ah , ouai , sur du public quoi, OK.
Parce que je n'imagine pas un Orange aller regarder ce que mon resolveur résout .... Ils ont un peu autre chose à foutre, passer leurs thunes ailleurs , et je ne suis pas de nature parano.

Les DNS Orange sont menteurs sur réquisition judiciaire...

Marco POLO · « **Réponse #39 le:** 03 mars 2020 à 18:44:09 »

Citation de: Thornhill le 03 mars 2020 à 17:28:11

https://www.bortzmeyer.org/dns-resolveurs-publics.html

Merci pour ce lien. Dans cette page, j'en ai trouvé un autre consacré particulièrement à ce sujet (Avoir son propre résolveur DNS ?), mais je dois admettre que leur lecture est quelque peu ardue pour un profane comme moi.

kgersen · « **Réponse #40 le:** 03 mars 2020 à 21:06:54 »

Citation de: doctorrock le 03 mars 2020 à 16:34:25

Mais que chaque foyer / entreprise, ait son résolveur ; reste une bonne solution intermédiaire .

non si tous les foyers/entreprises avaient leur propre résolveur les serveurs racines ne tiendraient pas le choc. Bien qu'il y en a plus d'un millier actuellement ( voir https://root-servers.org/ ) pour la planete entiere ce n'est pas suffisant si tout le monde utilise son propre résolveur.

DNS a été concu pour être distribué, hiérarchique et avec des résolveurs partagés.

hwti · « **Réponse #41 le:** 04 mars 2020 à 01:43:21 »

Si Firefox active le DoH par défaut, même si sa part de marché est réduite, le blocage par DNS risque de ne plus être considéré comme efficace par la justice. Le use-application-dns.net permettrait le garder le DOH désactivé par défaut et donc le statu quo actuel (blocage facile à contourner, mais considéré comme suffisant car la majorité des utilisateurs ne sait pas changer son DNS).

Les FAI n'ont probablement pas envie de devoir faire du filtrage via DPI, car ça coûterait plus cher (selon les décisions de justice, le blocage peut être à leur frais).

vivien · « **Réponse #42 le:** 04 mars 2020 à 06:58:01 »

Je pense que en 2020, avec l'arrivée d'Encrypted SNI dans quelques années, personne ne va investir sur du filtrage DPI, c'est une solution qui n'a pas d'avenir. (Je ne parle pas de l'aspect légal d'aller regarder dans le contenu des paquets, aujourd'hui en l'état actuel de la législation, cela semble problématique)

Pour moi, il me semble que Mozilla est prêt à désactiver DoH pour une liste de nom de domaines bloqués par la justice.

Ce serait alors le résolveur des FAI qui serait utilisé pour ces noms de domaines bloqués et on arriverait donc au même résultat.

La complexité de la chose vient du fait que la liste des noms de domaines bloqués en Europe varie de pays en pays et l'aspect liste confidentielle en France peut poser problème.

decalage · « **Réponse #43 le:** 04 mars 2020 à 08:15:20 »

Concernant la confidentialité, la liste des noms de domaine à bloquer peut être fournie sous forme d'empreintes sha-256 par exemple. Dans le même genre, Firefox et Chrome ont déjà une liste de unsafe sites qu'ils MAJ régulièrement.

Marco POLO · « **Réponse #44 le:** 04 mars 2020 à 19:53:35 »

Citation de: vivien le 04 mars 2020 à 06:58:01

Je pense que en 2020, avec l'arrivée d'Encrypted SNI dans quelques années, personne ne va investir sur du filtrage DPI, c'est une solution qui n'a pas d'avenir. (Je ne parle pas de l'aspect légal d'aller regarder dans le contenu des paquets, aujourd'hui en l'état actuel de la législation, cela semble problématique)

Pour moi, il me semble que Mozilla est prêt à désactiver DoH pour une liste de nom de domaines bloqués par la justice...

Petite question subsidiaire: lorsque DoH et Encrypted SNI sont activés, cela présente-t'il un problème lors de l'utilisation d'un VPN ?

vivien · « **Réponse #45 le:** 04 mars 2020 à 20:12:11 »

Non, un VPN va juste déplacer le point de sortie de l'Internet.

Une petite partie de l'usage d'un VPN ne sera plus nécessaire quand tout l'internet sera en https avec TLS 1.3 et Encrypted SNI.

Une grande parie des usages du VPN, comme se cacher d'un site seront toujours présents.

Le trio DoH, TLS 1.3 et Encrypted SNI ne protège que contre les intrusions entre ton navigateur et le serveur. Il permet d'être sur que tu aura bien le bon contenu sans qu'il ait été modifié ou ralenti. Par contre les sites web verront toujours ton adresse IP.

Marco POLO · « **Réponse #46 le:** 04 mars 2020 à 20:34:05 »

@Vivien: Merci pour ta réponse très explicite.

vivien · « **Réponse #47 le:** 08 mars 2020 à 15:13:20 »

L'Alpa (Association de lutte contre la piraterie audiovisuelle) a demandé le 5 mars 2019, une demande de déréférencement à Google sur une centaine de nom de domaines de sites de streaming illicites.

Il sera intéressant de tester ces nom de domaines avec et sans DoH.

A noter que la liste comporte des noms de domaines que la Fédération nationale des éditeurs de films (FNEF), le Syndicat de l’édition vidéo numérique (SEVN), l’Union des producteurs de cinéma (UPC) et le Centre national du cinéma (CNC) a ont obtenu le blocage DNS chez Bouygues Télécom, Free, Orange, SFR après un jugement du 16 janvier 2020 pour 18 mois, donc jusqu'au 16 septembre 2021.

Certains nom de domaines ne sont pas dans la décision de justice initiale, comme l'a révélé NextINpact le 6 mars 2020 (article de Marc Rees) :