Auteur Sujet: Mozilla active DNS over HTTPS par défaut dans Firefox... aux USA (Lu 27938 fois)

vivien · « **le:** 28 février 2020 à 18:31:08 »

Mozilla active DNS over HTTPS (DoH) par défaut dans Firefox... aux états-unis

Les utilisateurs de Firefox peuvent choisir entre deux résolveurs DNS DoH pré-configurés dans le navigateur : Cloudflare, paramétré par défaut, et NextDNS.

Cette activation par défaut ne concerne que les américains. Les utilisateurs Européens ne sont pas concernés. (Source : Blog Mozilla, le 25 février 2020)

En Europe, l'activation de DNS over HTTPS (DoH) fait polémique en raison de régressions pour les sites bloqués par la justice (exemple: sites terroristes) ou en cas d'utilisation de DNS pour le contrôle parental (exemple: OpenDNS de Cisco par exemple).

Mozilla a choisit la voie du dialogue, afin que DoH ne contourne pas les blocages ordonnés par la justice (Mozilla intégrerait une liste de noms de domaines à bloquer. Problème, cette liste de noms de domaines que les FAI doivent bloquer est hautement confidentielle et ne peut pas être diffusée à Mozilla).

Extrait d'un article de NextINpact du 12 septembre 2019 :
Mozilla est au courant de ces problèmes et travaille déjà sur des solutions. Par exemple, désactiver DoH quand une solution de contrôle parental est détectée. Les FAI pourraient en outre fournir une liste de domaines bloqués, pour lesquels Firefox couperait automatiquement sa protection, ne permettant alors plus de court-circuiter ledit blocage.
Mais même si Firefox s’est attiré en premier les foudres d’un certain nombre d’acteurs, le phénomène n'est pas prêt de disparaître : Chrome va faire de même avec sa version 78 le mois prochain, là encore pour un très petit nombre d’utilisateurs. Les compromis ne font que commencer.

Édit: Le texte en gras a été modifié le 10 mars 2019 par Mozilla propose également aux fournisseurs d'accès qui le souhaiteraient d'ajouter son domaine « canary » à leur liste de blocage. DoH serait alors coupé en cas de détection d'un blocage du domaine., c'est ce que fait Orange.

Extrait d'un article de Developpez.com du 7 juillet 2019 :
Mozilla insiste sur le fait que son objectif est de construire un Internet plus sûr et qu’elle milite pour une approche constructive sur les questions en rapport avec la sécurité lors des discussions avec les différentes « ;parties prenantes crédibles au Royaume-Uni ;», sans toutefois préciser si elle considérait l’ISPA comme tel.
L’éditeur de Firefox ne prévoit pas d’activer le DoH par défaut au Royaume-Uni. Cependant, son porte-parole a confié : « ;nous explorons actuellement des partenaires potentiels du DoH en Europe afin d’apporter cette importante fonctionnalité de sécurité à d’autres Européens de manière plus générale ;».

vivien · « **Réponse #1 le:** 28 février 2020 à 18:31:31 »

Les fournisseurs de DNS over HTTPS :

Hébergeur	Type de DNS	Latence (depuis Paris)	URL DNS over HTTPS (DoH)
CloudFlare	standard	1ms	https://cloudflare-dns.com/dns-query
CloudFlare	DNS64 (il ne répond qu'en IPv6, logique)	1ms	https://dns64.cloudflare-dns.com/dns-query
Google Public DNS	standard	1ms	https://dns.google/dns-query
Google Public DNS	DNS64 (il ne répond qu'en IPv6, logique)	1ms	https://dns64.dns.google/dns-query
NextDNS	standard (incompatible IPv6)	1ms	https://dns.nextdns.io/ cf https://my.nextdns.io/configuration/ pour la configuration
AdGuard	standard	84ms	https://dns.adguard.com/dns-query
AdGuard	mode "Family protection"	84ms	https://dns-family.adguard.com/dns-query
CleanBrowsing	mode "Security Filter" (incompatible IPv6)	8ms	https://doh.cleanbrowsing.org/doh/security-filter/
CleanBrowsing	mode "Family Filter" (incompatible IPv6)	8ms	https://doh.cleanbrowsing.org/doh/family-filter/
CleanBrowsing	mode "Adult Filter" (incompatible IPv6)	8ms	https://doh.cleanbrowsing.org/doh/adult-filter/
OpenDNS	standard	9ms	https://doh.opendns.com/dns-query
OpenDNS	mode "FamilyShield"	9ms	https://doh.familyshield.opendns.com/dns-query
Quad9 DNS	standard (Unsecured)	1ms	https://dns10.quad9.net/dns-query
Quad9 DNS	mode "Secure Recommended"	1ms	https://dns.quad9.net/dns-query
Quad9 DNS	mode "Secured"	1ms	https://dns9.quad9.net/dns-query
Quad9 DNS	mode "Secured w/ ECS support"	1ms	https://dns11.quad9.net/dns-query
Switch Public DNS	standard	26ms	https://dns.switch.ch/dns-query

Source : Wikipedia "Public recursive name server"

vivien · « **Réponse #2 le:** 28 février 2020 à 18:55:39 »

Pour les Français qui souhaitent activer DNS over HTTPS dans Firefox :

Il faut aller dans Préférences :

Tout en bas de la page il faut cliquer sur Paramètres pour ouvrir les paramètres réseaux.

Enfin en bas de la page, cocher "Activer le DNS via HTTPS" : Vous pouvez sélectionner Cloudflare ou rentrer une URL personnalisée ( du type https:// )

Vous pouvez configurer un autre fournisseur sélectionnant "Personnalisé" puis en rentrant l'URL DNS over HTTPS proposé plus haut.

vivien · « **Réponse #3 le:** 01 mars 2020 à 22:07:06 »

Concrètement, quand on active DNS over HTTPS dans Firefox, on utilise par défaut https://mozilla.cloudflare-dns.com/dns-query pour faire des requêtes DNS.

mozilla.cloudflare-dns.com étant un nom de domaine, il y a une résolution DNS classique pour trouver le bon nom de domaine. Demain des solutions autre pourraient être utilisées, comme un cache dans le navigateur pour ne pas être dépendant d'un DNS tiers pour activer DoH.

Voici les requêtes DNS et DoH au lancement de Firefox. Dans les captures Wireshark ci-dessous, j'ai filtré sur 4 éléments :
- DNS pour avoir les requêtes DNS classiques. Mon PC utilise le serveur 89.2.0.1 (ns1.numericable.net), étant abonné SFR sur le réseau Numericable.
- ip.addr==104.16.248.249 : La première IPv4 anycast du DNS CloudFlare
- ip.addr==104.16.249.249 : La seconde IPv4 anycast du DNS CloudFlare
- ip.addr==46.227.16.8 : L'IPv4 du site appelé, lafibre.info

Cliquer sur la capture Wireshark pour zoomer :

On voit au lancement de Firefox quelques requêtes DNS classiques dont une vers mozilla.cloudflare-dns.com dont la réponse DNS (du serveur DNS de SFR étant abonné SFR) est donnée sur le paquet surligné en bleu.

Immédiatement une connexion TCP chiffrée avec TLS 1.3 est ouverte pour DoH. Cette connexion TCP reste ouverte et reçois les requêtes DNS émises par Firefox. SFR ne voit plus le contenu des requêtes DNS passer.

vivien · « **Réponse #4 le:** 01 mars 2020 à 22:13:32 »

Quand je lance la navigation sur https://lafibre.info, à T=0,00, deux requêtes DNS sont effectuées via DoH :
- Une requête A pour l'IPv4
- Une requête AAAA pour l'IPv6

On voit bien dans la capture ci-dessous :
- T=0,000 : Les deux requêtes DNS via DoH (taille de 109 et 140 octets, c'est presque la taille d'une requête DNS classique)
- T=0,008 : CloudFlare acquitte la réception de ma demande et lance le traitement DNS récursif classique.
- T=0,024 : CloudFlare envoie la réponse DNS
- T=0,024 : Le navigateur se connecte sur lafibre.info (IP: 46.227.16.8 )

Cliquer sur la capture Wireshark pour zoomer :

vivien · « **Réponse #5 le:** 01 mars 2020 à 22:14:40 »

DNS over HTTPS (DoH) est une première étape pour la fin de la surveillance d'internet ou le blocage de sites internet.

La seconde étape est Encrypted SNI (abrégé eSNI), qui est une véritable bombe pour tous ceux qui bloquent des sites web via le SNI.

Le SNI (Server Name Indication) est une invention :
- relativement récente (SNI n'est par exemple pas supporté par Internet Explorer 8 sous Windows XP ou sur le navigateur d'Android 2)
- utilisé pour restreindre la neutralité d'internet
- dont le but premier est de permettre d'héberger plusieurs sites web en https sur une même IP. En effet sans SNI, le serveur ne connais pas le nom de domaine interrogé et ne peut donc pas présenté le bon certificat TLS. SNI est une extension du protocole TLS dans laquelle, le navigateur client indique le nom de l'hôte (hostname) avec lequel il tente de démarrer une négociation TLS. Le serveur lui retourne en échange le bon certificat TLS.

Malheureusement, SNI tout comme le DNS sont les deux portes utilisées pour brider Internet et restreindre le débit ou bloquer des sites web. DNS over HTTPS ferme une porte, mais si la seconde porte reste ouverte, cela ne sert à rien. Pour être complet, il existe une troisième porte, avec TLS v1.2 ou plus ancienne, le nom du certificat est en clair lors de la négociation TLS.

Je vous renvoie à l'article Encrypted SNI où la fin de la surveillance d'internet / bridage DPI pour activer Encrypted SNI.

DoH étant un prérequis chez Mozilla pour eSNI (Encrypted SNI), bloquer le déploiement de DOH bloque le déploiement d'eSNI. Je ne sais pas pourquoi Mozilla à mis ce pré-requis, même si fermer une porte et laisser l'autre ouverte n'est pas forcément une bonne idée (sentiment de sécurité, alors que si c'est généralisé les industriels vont utiliser l'autre porte)

Le trio DoH + TLS 1.3 + Encrypted SNI a pour effet de rendre impossible pour un intermédiaire entre le navigateur et l’hébergeur de pouvoir savoir quel contenu est regardé et donc de faire un blocage. Ce n’est pas un effet de bord, mais l’objectif principal d’eSNI.

- DoH (DNS over HTTPS) est plutôt mûre techniquement et est implémenté ou en cours d’implémentation chez tous les acteurs (Microsoft et Apple ont aussi fait des annonces).
La problématique qui bloque l’activation par défaut de DoH est la problématique du filtrage ou non avec tous les impacts que cela peut avoir dans une démocratie ou dans une dictature.

- TLS 1.3 : Avec TLS 1.2 ou inférieur, il est possible de voir le certificat TLS qui est en clair lors de la négociation TLS et donc de récupérer le nom de domaine utilisé. TLS 1.3 qui est le successeur de TLS 1.2, est mûre techniquement et est implémenté ou en cours d’implémentation chez tous les acteurs de l'Internet au fure et à mesure que les plateforme d'hébergements web sont mis à jour.

- eSNI (Encrypted SNI) lui ne peut pas être considéré comme une technologie éprouvée. Il est encore classé comme «Intended status: Experimental »
Le premier navigateur a le supporter est Firefox depuis quelques semaines. L’activation se fait via des options cachées. Il y a peu de contenus eSNI disponibles (uniquement CLoudFlare ?). TLS 1.3 (qui cache les info du certificat) est un prérequis officiel pour eSNI, le titre complet à l’IETF est « Encrypted Server Name Indication for TLS 1.3 ». DoH est un prérequis chez Mozilla pour Encrypted SNI.

eSNI n’est pas prêt pour Chrome.

Exemple : Un pays ne peut plus taxer ou bloquer certains sites, comme souhaitait le faire le Bénin (ils sont revenu en arrière)

Citation de: vivien le 10 septembre 2018 à 11:26:53

Au Bénin, le gouvernement impose la fin de la neutralité en taxant les clients qui utilisent Youtube, Whatsapp, Facebook, Skype ou Viber !

Edit : voici l'offre de Moov Bénin

Enfin il y a un impact pour la transition IPv6 : Encrypted SNI bloque l’utilisation du NAT46. Il est impossible pour un opérateur de proposer un accès aux sites IPv6 only depuis une IPv4 (personne ne propose de NAT46 aujourd’hui mais c’est une des solution pour terminer la transition dans les entreprises, afin d’éteindre IPv4 sur Internet). Dans l’autre sens, accès aux sites IPv4 depuis une IPv6, le NAT64, l’adresse IPv4 est encodée dans l’adresse IPv6, le DNS64/NAT64 n’est donc pas gêné par Encrypted SNI.

On en parle dans Précisions, je ne suis pas un grand fan d'Encrypted SNI : Je pense que son adoption pourrait retarder l'extinction de l'IP4 sur Internet.

vivien · « **Réponse #6 le:** 01 mars 2020 à 22:20:33 »

Si on reprend la capture Wireshark DoH réalisée plus haut, où Encrypted SNI n'est pas utilisé, on voit que lors de la connexion TCP chiffrée avec TLS 1.3 est ouverte pour DoH, le SNI mozilla.cloudflare-dns.com apparaît bien dans la requête envoyée par la navigateur (en rouge dans la conversation ci-dessous, 4ème ligne).

On ne voit par contre aucune information sur le certificat, grâce à l'utilisation de TLS 1.3. Tout est chiffré.

Cliquer sur l'image pour zoomer :

La connexion à lafibre.info se fait par contre en TLS 1.2 et outre le SNI lafibre.info dans la requête émise en rouge par Firefox à la 4ème ligne, on voit ensuite dans la réponse en bleu du serveur que le nom de domaine apparaît en clair dans le certificat (c'est sur la ligne qui commence par 2004).

Cliquer sur l'image pour zoomer :

decalage · « **Réponse #7 le:** 02 mars 2020 à 08:15:36 »

Si les FAI peuvent couper le DoH avec le domaine canari, ils vont le faire.

Donc c'est du flan cette histoire, seuls les geeks connaissant l'option avancée pourront la rendre effective.

Ça sera autre chose quand MS ajoutera le DoH à Windows.
Bon, mozilla ouvre la voie c'est déjà pas mal.

vivien · « **Réponse #8 le:** 02 mars 2020 à 09:19:57 »

« domaine canari » => Pour ceux qui se demandent comment désactiver DoH, dans le cadre d'une activation automatique de Mozilla (cela n'a aucun effet si c'est le choix du client qui a configuré manuellement DoH), voici l'explication de Mozilla :

Configurer les réseaux pour désactiver DNS via HTTPS

Chez Mozilla, nous croyons que DNS via HTTPS (DoH) est une fonctionnalité que tout un chacun devrait utiliser pour accroître la protection de sa vie privée. En chiffrant les requêtes DNS, DoH masque vos données de navigation à ceux qui se trouvent sur le chemin réseau qui va de vous à votre serveur de noms (DNS). Par exemple, utiliser les requêtes DNS standards sur un réseau public peut potentiellement révéler tous les sites web que vous visitez aux autres utilisateurs et utilisatrices de ce réseau comme à ses opérateurs.

Bien que nous aimerions encourager chacun à utiliser DoH, nous admettons qu’il y a quelques circonstances dans lesquelles DoH peut se révéler indésirable, à savoir :
- les réseaux qui ont installé un filtrage via le serveur DNS par défaut. C’est typiquement le cas pour installer le contrôle parental et pour bloquer l’accès à des sites web malicieux ;
- les réseaux qui répondent à des noms privés et/ou qui fournissent des réponses différentes de celles données publiquement. Par exemple, une entreprise peut n’exposer l’adresse d’une application utilisée par son personnel que sur son réseau interne.

Les réseaux peuvent signaler à Firefox que des fonctionnalités particulières comme celles exposées ci-dessus sont employées et qu’elles seraient désactivées si DoH était utilisé pour la résolution des noms de domaine. La vérification de ces signalements sera mise en œuvre dans Firefox dès que DoH sera activé par défaut pour tous les utilisateurs et utilisatrices. Les États-Unis en profiteront en premier à l’automne 2019. Si un utilisateur ou une utilisatrice a choisi d’activer manuellement DoH, le signal donné par le réseau est ignoré et les préférences utilisateur prévalent.

Les administrateurs et administratrices peuvent configurer leurs réseaux comme suit pour signaler que la résolution DNS locale a mis en œuvre des fonctionnalités particulières qui rendent leur réseau inadapté à l’utilisation de DoH :

Les requêtes DNS pour les enregistrements A et AAAA du domaine « use-application-dns.net » doivent répondre par NXDOMAIN plutôt que par l’adresse IP récupérée auprès du serveur faisant autorité.

Le domaine « use-application-dns.net » est désigné comme un « domaine canari ». Quelques fournisseurs de filtrage DNS existants proposent déjà de semblables domaines pour permettre aux utilisateurs et utilisatrices de vérifier le bon fonctionnement du filtrage. Ce nouveau domaine est différent car il est supposé être mis en place sur de nombreuses solutions de filtrage, et aussi consulté par des logiciels comme Firefox, plutôt que directement par les utilisateurs et utilisatrices. Ce mécanisme a été créé par Mozilla comme une mesure provisoire en attendant qu’un standard internet plus définitif pour signaler la présence d’un filtrage de contenu basé sur DNS puisse être approuvé.

En plus du signal du domaine canari décrit plus haut, Firefox exécute quelques vérifications de fonctionnalités réseau incompatibles avec DoH avant de l’activer pour un utilisateur ou une utilisatrice. Ces vérifications sont lancées au démarrage du navigateur et à chaque fois que le navigateur détecte qu’il a changé de réseau, ce qui se produit quand un ordinateur portable est utilisé à la maison, au travail et au café. Quand une quelconque de ces vérifications signale un problème potentiel, Firefox désactive DoH pour le reste de la session réseau, à moins que l’utilisateur ou l’utilisatrice ait activé la préférence « toujours utiliser DoH » comme mentionné plus haut.

Les vérifications supplémentaires effectuées pour le filtrage de contenu consistent à :
- effectuer la résolution de nom de domaines canari de quelques fournisseurs connus pour détecter un éventuel filtrage de contenu ;
- effectuer la résolution de nom des variantes « SafeSearch » de google.com et youtube.com pour déterminer si le réseau redirige vers elles ;
- sous Windows et macOS, détecter si le contrôle parental du système d’exploitation est activé.

Les vérifications supplémentaires effectuées pour des réseaux privés d’entreprise consistent à tester si :
- la préférence security.enterprise_roots.enabled de Firefox est positionnée sur true ;
- une stratégie d’entreprise est configurée.

Source : Support Mozilla

Retour de dig pour le domaine « use-application-dns.net » quand le DNS over HTTPS est autorisé par l'opérateur :

doctorrock · « **Réponse #9 le:** 02 mars 2020 à 14:05:57 »

Tant que ca devient pas obligatoire, et qu'on peut toujours résoudre des noms classiquement, comme on le fait depuis 30 ans, c-a-d via le port 53 en UDP et TCP, moi, ca me va ^^

Ce serait cool de pas mettre des batons dans les roues à ceux qui utilisent leurs propres résolveurs (comme moi du coup) et qui n'en ont rien à carrer de Doh du coup.

Marco POLO · « **Réponse #10 le:** 02 mars 2020 à 21:05:10 »

@ Vivien: Merci pour ce tuto très complet.

vivien · « **Réponse #11 le:** 02 mars 2020 à 22:04:53 »

Citation de: doctorrock le 02 mars 2020 à 14:05:57

Tant que ca devient pas obligatoire, et qu'on peut toujours résoudre des noms classiquement, comme on le fait depuis 30 ans, c-a-d via le port 53 en UDP et TCP, moi, ca me va ^^

Ce serait cool de pas mettre des batons dans les roues à ceux qui utilisent leurs propres résolveurs (comme moi du coup) et qui n'en ont rien à carrer de Doh du coup.

Non, cela ne deviendra pas obligatoire, tout comme https n'est pas obligatoire aujourd'hui : http fonctionne toujours même si il est de moins en moins utilisé.

Le protocole FTP fonctionne toujours, bien qu'il nécessite des développement spécifique pour passer les NAT et que tout soit en clair.

De plus, je te rassure, dans quelques années, il devrait être aussi simple de mettre en place un DoH que de mettre en place un résolveur DNS classique aujourd'hui.

Voici de la documentation pour mettre en place ton propre serveur DoH : https://www.bortzmeyer.org/doh-mon-resolveur.html

Je ne suis pas en mesure de savoir si le DoH va s'implémenter par défaut en Europe ou si il restera désactivé par défaut à cause de ses effets de bord.