Le 11/09/2019 à 16:37, Vu Ngoc VU a écrit :
Date: Wed, 11 Sep 2019 16:29:18 From: Olivier Vailleau olivier.vailleau@gmail.com To: Benjamin BILLON bbillon@splio.com Cc: frsag frsag@frsag.org Subject: Re: [FRsAG] DoH / Firefox.
Excusez si j'ai lu de travers ou trop rapidement, My english is not très bon.., mais, cela signifie que mes DNS locaux ne marcheront plus pour mes services internes ? En fait, j'ai une tapée de services en Domaintruc.com que j'héberge moi-même et pour lesquels l'IP interne n'est pas la même que l'IP publique. Est-ce que je suis un goret de bosser comme-ça ? Ou bien est-ce que je pourrais faire en sorte que mes résolutions locales soient.. locales ?
J'ai aussi du split view/horizon DNS.
Mais bon, comme on utilise un proxy, la résolution ne devrait pas être faite par le client.
Si j'ai bien compris : Firefox va tester si le TLD est publique et vérifier que la résolution locale ne renvoi pas une adresse privée. Si c'est l'un ou l'autre, DoH sera désactivé (combien de temps ?).
Du coup, pour moi, ça ne règle rien : Firefox va quand même faire une requête DNS sur le résolveur local, ce qu'ils veulent justement éviter.
Et dans le cas où tu cherche à ce que tes utilisateurs internes accèdent à un intranet en essayant d'accéder à ton site corporate par exemple, ben t'es chocolat puisque ce n'est ni une extension privée, ni une IP privée.
Ou sur du filtrage DNS en Cloud, par exemple.
Bref, ce n'est pas gagné cette histoire.
Et non, il n'y a, à ce jour, aucune garantie que Cloudflare soit plus gentil que Google. Et je doute que l'APNIC leur fasse bien peur.
Disons qu'ils n'ont pas encore été pris la main dans le pot de miel.
Julien