Auteur Sujet: Mozilla active DNS over HTTPS par défaut dans Firefox... aux USA  (Lu 27723 fois)

0 Membres et 1 Invité sur ce sujet

renaud07

  • Abonné Orange adsl
  • *
  • Messages: 3 345
Mozilla active DNS over HTTPS par défaut dans Firefox... aux USA
« Réponse #48 le: 08 mars 2020 à 16:22:23 »
Je viens d'en tester quelques uns. Sans DoH, pas de surprise ils sont bien bloqués. Avec le DoH, j'y accède sans problème.

Après faut voir si la configuration manuelle influe ou non. Puisque le domaine canary désactive le DoH entièrement. Je ne sais pas comment ils vont faire pour des domaines précis (liste intégrée ?)

decalage

  • Abonné Orange adsl
  • *
  • Messages: 188
  • 92
Mozilla active DNS over HTTPS par défaut dans Firefox... aux USA
« Réponse #49 le: 08 mars 2020 à 16:23:11 »
Déjà les résolveurs DNS de Bouygues ne censurent pas ces ndd apparemment.

> nslookup eztv.io nsabo1.bouyguesbox.fr
Serveur :   nsabo1.bouyguesbox.fr
Address:  194.158.122.10

Réponse ne faisant pas autorité :
Nom :    eztv.io
Addresses:  104.26.5.94
          104.26.4.94
> nslookup allostream.co nsabo1.bouyguesbox.fr
Serveur :   nsabo1.bouyguesbox.fr
Address:  194.158.122.10

Réponse ne faisant pas autorité :
Nom :    allostream.co
Address:  79.143.182.132
> nslookup annuaire-telechargement.best nsabo1.bouyguesbox.fr
Serveur :   nsabo1.bouyguesbox.fr
Address:  194.158.122.10

Réponse ne faisant pas autorité :
Nom :    annuaire-telechargement.best
Addresses:  2606:4700:3033::681b:b74a
          2606:4700:3033::681b:b64a
          104.27.183.74
          104.27.182.74

Faudrait tester avec un site pèdaufile ou nazzy, mais là j'en connais pas  ;D

hwti

  • Abonné Orange Fibre
  • *
  • Messages: 2 237
  • Chambly (60)
Mozilla active DNS over HTTPS par défaut dans Firefox... aux USA
« Réponse #50 le: 08 mars 2020 à 16:26:43 »
Il sera intéressant de tester ces nom de domaines avec et sans DoH.
Pour l'instant ces noms de domaines ne sont bloqués que par les FAI, la décision de justice ne vise pas les DNS publics comme CloudFlare et Google. Donc bien sûr ce n'est pas plus bloqué en DoH, puisque ça dépend du fournisseur du service.

En revanche, il y a un autre article intéressant, au sujet du blocage du streaming d'événements sportifs : https://www.nextinpact.com/news/108759-streaming-comment-va-sorganiser-lutte-contre-piratage-manifestations-sportives.htm.
Ils ont relevé deux amendements LR/LREM (quasi identiques, la source doit être commune) : http://www.assemblee-nationale.fr/dyn/15/amendements/2488/CION-CEDU/AC53 / http://www.assemblee-nationale.fr/dyn/15/amendements/2488/CION-CEDU/AC897.
Là il est question de demander le blocage aux fournisseurs de noms de domaines, et aux navigateurs (je me demande comment ce serait techniquement possible, surtout dans le cadre du RGPD, puisqu'il faudrait localiser l'utilisateur en France pour appliquer le blocage).

renaud07

  • Abonné Orange adsl
  • *
  • Messages: 3 345
Mozilla active DNS over HTTPS par défaut dans Firefox... aux USA
« Réponse #51 le: 08 mars 2020 à 16:30:23 »
Chez orange ça dépend :
$ dig @81.253.149.5 annuaire-telechargement.best

; <<>> DiG 9.11.3-1ubuntu1.11-Ubuntu <<>> @81.253.149.5 annuaire-telechargement.best
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 4330
;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1460
; COOKIE: 5554caea134008313bad75ff5e650eba3c9393d73fc531d0 (good)
;; QUESTION SECTION:
;annuaire-telechargement.best. IN A

;; ANSWER SECTION:
annuaire-telechargement.best. 275 IN A 104.27.183.74
annuaire-telechargement.best. 275 IN A 104.27.182.74

;; Query time: 22 msec
;; SERVER: 81.253.149.5#53(81.253.149.5)
;; WHEN: Sun Mar 08 16:26:50 CET 2020
;; MSG SIZE  rcvd: 117
$ dig @81.253.149.5 allostream.co

; <<>> DiG 9.11.3-1ubuntu1.11-Ubuntu <<>> @81.253.149.5 allostream.co
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 64145
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1460
; COOKIE: 5021c9f4ea8b6a22a93b0fab5e650ec265ce698ed19bd310 (good)
;; QUESTION SECTION:
;allostream.co. IN A

;; ANSWER SECTION:
allostream.co. 5 IN A 127.0.0.1

;; Query time: 22 msec
;; SERVER: 81.253.149.5#53(81.253.149.5)
;; WHEN: Sun Mar 08 16:26:58 CET 2020
;; MSG SIZE  rcvd: 86
$ dig @81.253.149.5 eztv.io

; <<>> DiG 9.11.3-1ubuntu1.11-Ubuntu <<>> @81.253.149.5 eztv.io
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 32501
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1460
; COOKIE: 875b1101fe3bed41040599335e650ed8a7a722bc0e6d0fac (good)
;; QUESTION SECTION:
;eztv.io. IN A

;; ANSWER SECTION:
eztv.io. 5 IN A 127.0.0.1

;; Query time: 23 msec
;; SERVER: 81.253.149.5#53(81.253.149.5)
;; WHEN: Sun Mar 08 16:27:20 CET 2020
;; MSG SIZE  rcvd: 80

vivien

  • Administrateur
  • *
  • Messages: 47 076
    • Twitter LaFibre.info
Mozilla active DNS over HTTPS par défaut dans Firefox... aux USA
« Réponse #52 le: 08 mars 2020 à 21:23:00 »
Là il est question de demander le blocage aux fournisseurs de noms de domaines, et aux navigateurs (je me demande comment ce serait techniquement possible, surtout dans le cadre du RGPD, puisqu'il faudrait localiser l'utilisateur en France pour appliquer le blocage).

Mozilla gère le DoH par pays (aujourd'hui les États-Unis est le seul pays activé) et est prêt à désactiver le DoH pour certains noms de domaines afin que ces derniers soient bloqués par le DNS de l'opérateur.

Pour moi ce ne serait donc pas un blocage directement de la part de Mozilla, mais une désactivation de DoH pour retomber sur les DNS de l'opérateur et donc être bloqué. Ce comportement par défaut pourrait être modifié.

vivien

  • Administrateur
  • *
  • Messages: 47 076
    • Twitter LaFibre.info
Mozilla active DNS over HTTPS par défaut dans Firefox... aux USA
« Réponse #53 le: 10 mars 2020 à 10:56:53 »
Extrait d'un article de NextINpact du 12 septembre 2019 :
Mozilla est au courant de ces problèmes et travaille déjà sur des solutions. Par exemple, désactiver DoH quand une solution de contrôle parental est détectée. Les FAI pourraient en outre fournir une liste de domaines bloqués, pour lesquels Firefox couperait automatiquement sa protection, ne permettant alors plus de court-circuiter ledit blocage.
Mais même si Firefox s’est attiré en premier les foudres d’un certain nombre d’acteurs, le phénomène n'est pas prêt de disparaître : Chrome va faire de même avec sa version 78 le mois prochain, là encore pour un très petit nombre d’utilisateurs. Les compromis ne font que commencer.

La partie en gras a été modifiée et remplacée par :

Mozilla propose également aux fournisseurs d'accès qui le souhaiteraient d'ajouter son domaine « canary » à leur liste de blocage. DoH serait alors coupé en cas de détection d'un blocage du domaine.

Echanges twitter sur cette mise à jour : Vincent Hermann @Vince_NXi : Bonjour, il s'agissait d'une erreur de ma part. Mozilla proposait aux FAI qui le voulaient d'ajouter son domaine canary à leur liste de blocage, pour que DoH se coupe tout seul en cas de détection. Le texte a été corrigé, merci :)

vivien

  • Administrateur
  • *
  • Messages: 47 076
    • Twitter LaFibre.info
Mozilla active DNS over HTTPS par défaut dans Firefox... aux USA
« Réponse #54 le: 10 mars 2020 à 13:43:11 »
Un article du blog Microsoft intéressant sur l'arrivée prochaine de DNO over HTTPS dans Windows 10 :

Windows améliorera la confidentialité des utilisateurs avec DNS over HTTPS

Dans Windows Core Networking, nous souhaitons que votre trafic soit aussi privé que possible, rapide et fiable. Bien qu'il existe de nombreuses façons d'approcher et de protéger la confidentialité des utilisateurs, nous aimerions aujourd'hui parler de DNS chiffré. Pourquoi? Fondamentalement, parce que la prise en charge des requêtes DNS chiffrées dans Windows fermera l'une des dernières transmissions de noms de domaine en texte brut restantes dans le trafic Web commun.

Il ne sera pas facile de fournir une prise en charge DNS chiffrée sans casser la configuration DNS Windows existante. Cependant, chez Microsoft, nous pensons que «nous devons considérer la confidentialité comme un droit humain. Nous devons intégrer la cybersécurité de bout en bout dans la technologie».

Nous pensons également que l'adoption par Windows du DNS chiffré contribuera à rendre l'écosystème Internet global plus sain. Beaucoup pensent que le chiffrement du DNS nécessite une centralisation des serveurs DNS. Cela n'est vrai que si l'adoption du DNS chiffré n'est pas universelle. Pour maintenir le DNS décentralisé, il sera important que les systèmes d'exploitation clients (tels que Windows) et les fournisseurs de services Internet adoptent largement le DNS chiffré.

Avec la décision prise de développer la prise en charge du DNS chiffré, la prochaine étape consiste à déterminer quel type de chiffrement DNS Windows prendra en charge et comment il sera configuré. Voici les principes directeurs de notre équipe pour prendre ces décisions:

- Le DNS Windows doit être aussi privé et fonctionnel que possible par défaut sans avoir besoin d'une configuration utilisateur ou administrateur, car le trafic DNS Windows représente un instantané de l'historique de navigation de l'utilisateur. Pour les utilisateurs de Windows, cela signifie que leur expérience sera rendue aussi privée que possible par Windows dés la première utilisation. Pour Microsoft, cela signifie que nous rechercherons des opportunités de chiffrer le trafic DNS Windows sans changer les résolveurs DNS configurés définis par les utilisateurs et les administrateurs système.

- Les utilisateurs et administrateurs Windows soucieux de la confidentialité doivent être guidés vers les paramètres DNS même s'ils ne savent pas encore ce qu'est le DNS. De nombreux utilisateurs souhaitent contrôler leur confidentialité et rechercher des paramètres axés sur la confidentialité, tels que les autorisations des applications sur la caméra et l'emplacement, mais peuvent ne pas connaître les paramètres DNS ou comprendre pourquoi ils sont importants et peuvent ne pas les rechercher dans les paramètres de l'appareil.

- Les utilisateurs et administrateurs Windows doivent être en mesure d'améliorer leur configuration DNS avec le moins d'actions simples possible. Nous devons nous assurer que nous n'avons pas besoin de connaissances ou d'efforts spécialisés de la part des utilisateurs de Windows pour bénéficier d'un DNS chiffré. Les politiques d'entreprise et les actions d'interface utilisateur devraient être quelque chose que vous ne devez faire qu'une seule fois plutôt que de maintenir.

- Les utilisateurs et administrateurs Windows doivent autoriser explicitement le repli à partir du DNS chiffré une fois configuré. Une fois que Windows a été configuré pour utiliser le DNS chiffré, s'il ne reçoit aucune autre instruction des utilisateurs ou administrateurs de Windows, il doit supposer qu'il est interdit de revenir au DNS non chiffré.

Sur la base de ces principes, nous prévoyons d'adopter DNS sur HTTPS (ou DoH) dans le client DNS Windows. En tant que plate-forme, Windows Core Networking cherche à permettre aux utilisateurs d'utiliser les protocoles dont ils ont besoin, nous sommes donc ouverts à d'autres options telles que DNS sur TLS (DoT) à l'avenir. Pour l'instant, nous priorisons le support du DoH comme le plus susceptible de fournir une valeur immédiate à tout le monde. Par exemple, DoH nous permet de réutiliser notre infrastructure HTTPS existante.

Pour notre premier jalon, nous commencerons par un changement simple: utiliser DoH pour les serveurs DNS que Windows est déjà configuré pour utiliser. Il y a maintenant plusieurs serveurs DNS publics qui prennent en charge DoH, et si un utilisateur Windows ou un administrateur de périphérique en configure un aujourd'hui, Windows utilisera simplement le DNS classique (sans chiffrement) sur ce serveur. Cependant, comme ces serveurs et leurs configurations DoH sont bien connus, Windows peut automatiquement mettre à niveau vers DoH tout en utilisant le même serveur. Nous pensons que cette étape a les avantages suivants:

- Nous n'apporterons aucune modification au serveur DNS qui a été configuré pour par l'utilisateur ou le réseau. Aujourd'hui, les utilisateurs et les administrateurs décident du serveur DNS à utiliser en choisissant le réseau auquel ils se joignent ou en spécifiant directement le serveur; cette étape ne changera rien à cela. De nombreuses personnes utilisent le serveur DNS du FAI ou le filtrage de contenu via un serveur DNS public pour faire des choses comme bloquer les sites Web offensants. Changer silencieusement les serveurs DNS approuvés pour faire des résolutions Windows pourrait contourner ces contrôles par inadvertance et frustrer nos utilisateurs. Nous pensons que les administrateurs d'appareils ont le droit de contrôler où va leur trafic DNS.

- De nombreux utilisateurs et applications qui souhaitent bénéficier de la confidentialité commenceront à en bénéficier sans avoir à connaître le DNS. Conformément au principe 1, les requêtes DNS deviennent plus privées sans aucune action des applications ou des utilisateurs. Lorsque les deux points de terminaison prennent en charge le chiffrement, il n'y a aucune raison d'attendre la permission d'utiliser le chiffrement !

- Nous pouvons commencer à voir les défis liés à l'application de la ligne sur la préférence de l'échec de la résolution au repli non chiffré. Conformément au principe 4, cette utilisation DoH sera appliquée de sorte qu'un serveur confirmé par Windows pour prendre en charge DoH ne sera pas consulté via le DNS classique. Si cette préférence pour la confidentialité par rapport à la fonctionnalité provoque une perturbation dans les scénarios Web courants, nous le saurons tôt.

Dans les prochaines étapes, nous devrons créer des moyens plus respectueux de la vie privée pour que nos utilisateurs découvrent leurs paramètres DNS dans Windows et rendent ces paramètres compatibles avec DoH. Cela donnera aux utilisateurs, aux administrateurs de périphériques et aux administrateurs d'entreprise la possibilité de configurer explicitement les serveurs DoH.

Pourquoi annoncer nos intentions avant que DoH ne soit disponible pour Windows Insiders ? Le DNS chiffré étant de plus en plus populaire, nous avons estimé qu'il était important de clarifier nos intentions le plus tôt possible. Nous ne voulons pas que nos clients se demandent si leur plateforme de confiance adoptera ou non des normes de confidentialité modernes.

Si vous êtes intéressé à rejoindre la conversation plus large de l'industrie sur le chiffrement du DNS, consultez l'un des groupes de travail de l'IETF travaillant avec le DNS (ABCD, Apps Doing DNS, DNSOP, DPRIVE) ou Encrypted DNS Deployment Initiative.


Source : Blog Microsoft, le 17 novembre 2019, par Tommy Jensen, Ivan Pashov et Gabriel Montenegro. Traduction rapide réalisée par Vivien Guéant.

decalage

  • Abonné Orange adsl
  • *
  • Messages: 188
  • 92
Mozilla active DNS over HTTPS par défaut dans Firefox... aux USA
« Réponse #55 le: 12 mars 2020 à 18:29:18 »
C'est marrant de voir que Microsoft choisi DNS over HTTPS et Google a déjà intégré DNS over TLS dans Android depuis 2 ans. Port 443 contre port 853, the fight!

vivien

  • Administrateur
  • *
  • Messages: 47 076
    • Twitter LaFibre.info
Mozilla active DNS over HTTPS par défaut dans Firefox... aux USA
« Réponse #56 le: 12 mars 2020 à 18:35:04 »
Le port 853 est bloqué dans de nombreux réseaux donc on sait que ce n'est pas la solution.
Google aussi implémente DoH.

Utiliser le port 443 permet d'être discret quand Encrypted SNI sera présent.

decalage

  • Abonné Orange adsl
  • *
  • Messages: 188
  • 92
Mozilla active DNS over HTTPS par défaut dans Firefox... aux USA
« Réponse #57 le: 12 mars 2020 à 18:52:31 »
DoH natif sur Android ? Source ?

vivien

  • Administrateur
  • *
  • Messages: 47 076
    • Twitter LaFibre.info
Mozilla active DNS over HTTPS par défaut dans Firefox... aux USA
« Réponse #58 le: 12 mars 2020 à 20:07:13 »
Sur Chrome au moins.

Google a déjà son résolveur DNS public compatible DoH et il a déjà développé les API (exemple).

Bref, le support de DoH va arriver chez Google, Microsoft, Apple et Linux (systemd-resolved).

Marco POLO

  • Abonné Free fibre
  • *
  • Messages: 2 132
  • FTTH 1 Gb/s sur Paris (75)
Mozilla active DNS over HTTPS par défaut dans Firefox... aux USA
« Réponse #59 le: 12 mars 2020 à 22:33:08 »
...Utiliser le port 443 permet d'être discret quand Encrypted SNI sera présent.
Salut Vivien,
Et comment avoir accès à ce port ?