Hébergeur | Type de DNS | Latence (depuis Paris) | URL DNS over HTTPS (DoH) |
CloudFlare | standard | 1ms | https://cloudflare-dns.com/dns-query |
CloudFlare | DNS64 (il ne répond qu'en IPv6, logique) | 1ms | https://dns64.cloudflare-dns.com/dns-query |
Google Public DNS | standard | 1ms | https://dns.google/dns-query |
Google Public DNS | DNS64 (il ne répond qu'en IPv6, logique) | 1ms | https://dns64.dns.google/dns-query |
NextDNS | standard (incompatible IPv6) | 1ms | https://dns.nextdns.io/ cf https://my.nextdns.io/configuration/ pour la configuration |
AdGuard | standard | 84ms | https://dns.adguard.com/dns-query |
AdGuard | mode "Family protection" | 84ms | https://dns-family.adguard.com/dns-query |
CleanBrowsing | mode "Security Filter" (incompatible IPv6) | 8ms | https://doh.cleanbrowsing.org/doh/security-filter/ |
CleanBrowsing | mode "Family Filter" (incompatible IPv6) | 8ms | https://doh.cleanbrowsing.org/doh/family-filter/ |
CleanBrowsing | mode "Adult Filter" (incompatible IPv6) | 8ms | https://doh.cleanbrowsing.org/doh/adult-filter/ |
OpenDNS | standard | 9ms | https://doh.opendns.com/dns-query |
OpenDNS | mode "FamilyShield" | 9ms | https://doh.familyshield.opendns.com/dns-query |
Quad9 DNS | standard (Unsecured) | 1ms | https://dns10.quad9.net/dns-query |
Quad9 DNS | mode "Secure Recommended" | 1ms | https://dns.quad9.net/dns-query |
Quad9 DNS | mode "Secured" | 1ms | https://dns9.quad9.net/dns-query |
Quad9 DNS | mode "Secured w/ ECS (https://en.wikipedia.org/wiki/EDNS_Client_Subnet) support" | 1ms | https://dns11.quad9.net/dns-query |
Switch Public DNS | standard | 26ms | https://dns.switch.ch/dns-query |
Au Bénin, le gouvernement impose la fin de la neutralité en taxant les clients qui utilisent Youtube, Whatsapp, Facebook, Skype ou Viber !
Edit : voici l'offre de Moov Bénin
(https://lafibre.info/images/international/201809_Benin_TaxePasMesMo_Moov_1.jpg)
Tant que ca devient pas obligatoire, et qu'on peut toujours résoudre des noms classiquement, comme on le fait depuis 30 ans, c-a-d via le port 53 en UDP et TCP, moi, ca me va ^^
Ce serait cool de pas mettre des batons dans les roues à ceux qui utilisent leurs propres résolveurs (comme moi du coup) et qui n'en ont rien à carrer de Doh du coup.
Le trio DoH + TLS 1.3 + Encrypted SNI a pour effet de rendre impossible pour un intermédiaire entre le navigateur et l’hébergeur de pouvoir savoir quel contenu est regardé et donc de faire un blocage. Ce n’est pas un effet de bord, mais l’objectif principal d’eSNI.
- DoH (DNS over HTTPS) est plutôt mûre techniquement et est implémenté ou en cours d’implémentation chez tous les acteurs (Microsoft et Apple ont aussi fait des annonces).
La problématique qui bloque l’activation par défaut de DoH est la problématique du filtrage ou non avec tous les impacts que cela peut avoir dans une démocratie ou dans une dictature.
- TLS 1.3 : Avec TLS 1.2 ou inférieur, il est possible de voir le certificat TLS qui est en clair lors de la négociation TLS et donc de récupérer le nom de domaine utilisé. TLS 1.3 qui est le successeur de TLS 1.2, est mûre techniquement et est implémenté ou en cours d’implémentation chez tous les acteurs de l'Internet au fure et à mesure que les plateforme d'hébergements web sont mis à jour.
- eSNI (Encrypted SNI) lui ne peut pas être considéré comme une technologie éprouvée. Il est encore classé comme «Intended status: Experimental »
Le premier navigateur a le supporter est Firefox depuis quelques semaines. L’activation se fait via des options cachées. Il y a peu de contenus eSNI disponibles (uniquement CLoudFlare ?). TLS 1.3 (qui cache les info du certificat) est un prérequis officiel pour eSNI, le titre complet à l’IETF est « Encrypted Server Name Indication for TLS 1.3 (https://datatracker.ietf.org/doc/draft-ietf-tls-esni/) ». DoH est un prérequis chez Mozilla pour Encrypted SNI.
Dans le fond c'est intéressant, c'est un progrès...
Mais si pour se protéger contre les atteintes à la neutralité d'internet, il faut utiliser les services DNS-Over-HTTPS fournis par des entreprises qui elles mêmes n'ont pas pour habitude de respecter la vie privée ou la neutralité d'Internet (la liste citée ici (https://lafibre.info/navigateurs/doh-usa/msg735589/#msg735589)), je ne vois pas l'intérêt.
Bref, si quelqu'un connait un service DNS-Over-HTTPS vraiment neutre et clean, ça m'intéresse.
Leon.
Tant que ca devient pas obligatoire, et qu'on peut toujours résoudre des noms classiquement, comme on le fait depuis 30 ans, c-a-d via le port 53 en UDP et TCP, moi, ca me va ^^
Ce serait cool de pas mettre des batons dans les roues à ceux qui utilisent leurs propres résolveurs (comme moi du coup) et qui n'en ont rien à carrer de Doh du coup.
Il faudrait que chaque Top Domain l'implémente, et vu le temps que ça a pris pour DNS Sec, j'entends dans mon oreillette que DoH c'est pas pour demain.Quel rapport avec les top domain ?
Je vois pas l'utilité de chiffrer les échanges entre résolveurs et serveurs DNS, ces requêtes ne peuvent pas être liées à quelqu'un.
Car là on est obligé d'utiliser un grand résolveur commun, on s'éloigne de la décentralisation d'internet.
Les FAI pourraient en outre fournir une liste de domaines bloqués, pour lesquels Firefox couperait automatiquement sa protection, ne permettant alors plus de court-circuiter ledit blocage.
...Que chaque PC ait sont propre résolveur n'est pas forcément l'idéal, que ce soit en terme de confidentialité ou de charge pour les serveurs autoritaires...Veux-tu dire que, dans le cas où on programme les DNS de Cloudflare dans son PC serait un handicap si on active DoH et ESNI ? (https://lafibre.info/images/smileys/@GregLand/cs.gif)
Que chaque PC ait sont propre résolveur n'est pas forcément l'idéal, que ce soit en terme de confidentialité ou de charge pour les serveurs autoritaires.
Veux-tu dire que, dans le cas où on programme les DNS de Cloudflare dans son PC serait un handicap si on active DoH et ESNI ?Je pense que tu confonds personnaliser le "Serveur DNS" qu'utilise le PC et avoir son propre résolveur DNS @ home.
Mais que chaque foyer / entreprise, ait son résolveur ; reste une bonne solution intermédiaire .
Enfin c'est ce que j'applique chez moi, mais je sais faire oui , pas le cas de tout le monde j'avoue.
Avoir son propre résolveur récursif chez soi c'est bien, mais ça n'apporte pas grand chose sur le plan de la vie privée : le réseau de ton FAI verra toujours passer le requêtes entre ton résolveur privé et les serveurs racines.
DoH, c'est une solution qui a son utilité quand on n'a pas confiance dans le réseau d'accès : celui de mon FAI, de mon entreprise, de mon université...
Je pense que tu confonds personnaliser le "Serveur DNS" qu'utilise le PC et avoir son propre résolveur DNS @ home.Merci pour ta réponse: peux-tu m'expliquer quelle est la différence ? Merci d'avance. (https://lafibre.info/images/smileys/Confus/Confus_77.gif)
quelle est la différence ?
Ah , ouai , sur du public quoi, OK.Les DNS Orange sont menteurs sur réquisition judiciaire...
Parce que je n'imagine pas un Orange aller regarder ce que mon resolveur résout .... Ils ont un peu autre chose à foutre, passer leurs thunes ailleurs , et je ne suis pas de nature parano.
https://www.bortzmeyer.org/dns-resolveurs-publics.html (https://www.bortzmeyer.org/dns-resolveurs-publics.html)Merci pour ce lien. Dans cette page, j'en ai trouvé un autre consacré particulièrement à ce sujet (Avoir son propre résolveur DNS ? (https://www.bortzmeyer.org/son-propre-resolveur-dns.html)), mais je dois admettre que leur lecture est quelque peu ardue pour un profane comme moi. (https://lafibre.info/images/smileys/Confus/Confus_34.gif)
Mais que chaque foyer / entreprise, ait son résolveur ; reste une bonne solution intermédiaire .
Je pense que en 2020, avec l'arrivée d'Encrypted SNI dans quelques années, personne ne va investir sur du filtrage DPI, c'est une solution qui n'a pas d'avenir. (Je ne parle pas de l'aspect légal d'aller regarder dans le contenu des paquets, aujourd'hui en l'état actuel de la législation, cela semble problématique)Petite question subsidiaire: lorsque DoH et Encrypted SNI sont activés, cela présente-t'il un problème lors de l'utilisation d'un VPN ? (https://lafibre.info/images/smileys/@GregLand/cs.gif)
Pour moi, il me semble que Mozilla est prêt à désactiver DoH pour une liste de nom de domaines bloqués par la justice...
> nslookup eztv.io nsabo1.bouyguesbox.fr
Serveur : nsabo1.bouyguesbox.fr
Address: 194.158.122.10
Réponse ne faisant pas autorité :
Nom : eztv.io
Addresses: 104.26.5.94
104.26.4.94
> nslookup allostream.co nsabo1.bouyguesbox.fr
Serveur : nsabo1.bouyguesbox.fr
Address: 194.158.122.10
Réponse ne faisant pas autorité :
Nom : allostream.co
Address: 79.143.182.132
> nslookup annuaire-telechargement.best nsabo1.bouyguesbox.fr
Serveur : nsabo1.bouyguesbox.fr
Address: 194.158.122.10
Réponse ne faisant pas autorité :
Nom : annuaire-telechargement.best
Addresses: 2606:4700:3033::681b:b74a
2606:4700:3033::681b:b64a
104.27.183.74
104.27.182.74
Il sera intéressant de tester ces nom de domaines avec et sans DoH.Pour l'instant ces noms de domaines ne sont bloqués que par les FAI, la décision de justice ne vise pas les DNS publics comme CloudFlare et Google. Donc bien sûr ce n'est pas plus bloqué en DoH, puisque ça dépend du fournisseur du service.
$ dig @81.253.149.5 annuaire-telechargement.best
; <<>> DiG 9.11.3-1ubuntu1.11-Ubuntu <<>> @81.253.149.5 annuaire-telechargement.best
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 4330
;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 1
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1460
; COOKIE: 5554caea134008313bad75ff5e650eba3c9393d73fc531d0 (good)
;; QUESTION SECTION:
;annuaire-telechargement.best. IN A
;; ANSWER SECTION:
annuaire-telechargement.best. 275 IN A 104.27.183.74
annuaire-telechargement.best. 275 IN A 104.27.182.74
;; Query time: 22 msec
;; SERVER: 81.253.149.5#53(81.253.149.5)
;; WHEN: Sun Mar 08 16:26:50 CET 2020
;; MSG SIZE rcvd: 117
$ dig @81.253.149.5 allostream.co
; <<>> DiG 9.11.3-1ubuntu1.11-Ubuntu <<>> @81.253.149.5 allostream.co
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 64145
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1460
; COOKIE: 5021c9f4ea8b6a22a93b0fab5e650ec265ce698ed19bd310 (good)
;; QUESTION SECTION:
;allostream.co. IN A
;; ANSWER SECTION:
allostream.co. 5 IN A 127.0.0.1
;; Query time: 22 msec
;; SERVER: 81.253.149.5#53(81.253.149.5)
;; WHEN: Sun Mar 08 16:26:58 CET 2020
;; MSG SIZE rcvd: 86
$ dig @81.253.149.5 eztv.io
; <<>> DiG 9.11.3-1ubuntu1.11-Ubuntu <<>> @81.253.149.5 eztv.io
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 32501
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1460
; COOKIE: 875b1101fe3bed41040599335e650ed8a7a722bc0e6d0fac (good)
;; QUESTION SECTION:
;eztv.io. IN A
;; ANSWER SECTION:
eztv.io. 5 IN A 127.0.0.1
;; Query time: 23 msec
;; SERVER: 81.253.149.5#53(81.253.149.5)
;; WHEN: Sun Mar 08 16:27:20 CET 2020
;; MSG SIZE rcvd: 80
Là il est question de demander le blocage aux fournisseurs de noms de domaines, et aux navigateurs (je me demande comment ce serait techniquement possible, surtout dans le cadre du RGPD, puisqu'il faudrait localiser l'utilisateur en France pour appliquer le blocage).
Extrait d'un article de NextINpact du 12 septembre 2019 (https://www.nextinpact.com/brief/firefox---premieres-activations-du-protocole-dns-over-https-dans-le-mois-9646.htm) :
Mozilla est au courant de ces problèmes et travaille déjà sur des solutions. Par exemple, désactiver DoH quand une solution de contrôle parental est détectée. Les FAI pourraient en outre fournir une liste de domaines bloqués, pour lesquels Firefox couperait automatiquement sa protection, ne permettant alors plus de court-circuiter ledit blocage.
Mais même si Firefox s’est attiré en premier les foudres d’un certain nombre d’acteurs, le phénomène n'est pas prêt de disparaître : Chrome va faire de même avec sa version 78 le mois prochain, là encore pour un très petit nombre d’utilisateurs. Les compromis ne font que commencer.
...Utiliser le port 443 permet d'être discret quand Encrypted SNI sera présent.Salut Vivien,
Je n'ai pas vu d'annonces ou infos sur DoT pour Android. quelqu'un a une source ?
Bref, le support de DoH va arriver chez Google, Microsoft, Apple et Linux (systemd-resolved).
J'aurais cru que la derniere version de FX active par défaut le DoH....vu le tintinmarre "grosse nouveauté" que les médias hi-tech nous disent de cela...........
Personnellement j'ai dû désactiver DoH et eSNI sur Firefox, ils me bloquaient la navigation par moments.
eSNI, y a des sites pas compatibles.
DoH, parfois les requêtes HTTP partent même pas, pas eu le temps de debug, j'ai désactivé.
Je n'ai pas rencontré de problème avec DoH, même en entreprise avec intranet et nombreux nom de domaines interne à l'entreprise (DoH utilisait alors le DNS habituelle faute de réponse sur le DoH).
Je ne pense pas que mon DSI sait que l'on peut nous même activer DoH...
Sans doute que dans Firefox pour la page about:config pour le paramètre : network.trr.mode sa valeur était définie sur 3.Non, l'activation de DNS via HTTPS dans les options Firefox positionne cette valeur à 2.
Vous connaissez DoH et DoT, mais connaissez-vous ODoH ? :P
Cloudflare et Apple travaillent sur le protocole Oblivious DoH (ODoH) avec l'IETF (https://web.developpez.com/actu/311105/Cloudflare-et-Apple-travaillent-sur-le-protocole-Oblivious-DoH-ODoH-avec-l-IETF-qui-s-appuie-sur-les-ameliorations-apportees-par-DNS-over-HTTPS-pour-mieux-proteger-les-donnees-des-internautes/) (developpez.com)
Improving DNS Privacy with Oblivious DoH in 1.1.1.1 (https://blog.cloudflare.com/oblivious-dns/) (blog.cloudflare.com)
En gros, un proxy est positionné entre le client et le résolveur.
90.8% of consumers across the EU used the DNS resolvers managed by their ISPs in their respective countries