Hello :)
Si vous n'êtes pas au courant, FireFox vas pousser bientôt le DoH... Ce qui vas impliquer que vos resolveur locaux seront bypassé par Cloud Fare...
Bon il sont gentils ils ont fait un "canari test" sur un domaine chez Google... (bravo les GAFAM).
La doc est la : https://support.mozilla.org/en-US/kb/configuring-networks-disable-dns-over-h...
Le thread chez nos amis de l'Oarc : https://lists.dns-oarc.net/pipermail/dns-operations/2019-September/019179.ht...
A bientôt Xavier
Bonjour,
Le 11/09/2019 à 11:59, Xavier Beaudouin a écrit :
Hello :)
Si vous n'êtes pas au courant, FireFox vas pousser bientôt le DoH... Ce qui vas impliquer que vos resolveur locaux seront bypassé par Cloud Fare...
Bon il sont gentils ils ont fait un "canari test" sur un domaine chez Google... (bravo les GAFAM).
La doc est la : https://support.mozilla.org/en-US/kb/configuring-networks-disable-dns-over-h...
Le thread chez nos amis de l'Oarc : https://lists.dns-oarc.net/pipermail/dns-operations/2019-September/019179.ht...
A bientôt Xavier
Pour information, le port/paquetage OpenBSD a été modifié pour une configuration désactivant cette horreur (cf https://marc.info/?l=openbsd-ports&m=156794162705366&w=2).
D'autres intégrations feront ou ont peut-être déjà fait un choix similaire.
Bien cordialement,
Bonjour,
Sur le sujet, on peut voir la conférence de Stéphane Bortzmeyer sur le sujet: https://tube.benzo.online/videos/watch/756a8447-5a27-408d-a513-611f0288e1dd
Ça permettra entre autres aux utilisateurs de Firefox de récupérer leur accès à Sci-Hub :)
Rémy
On 11/09/2019 11:59, Xavier Beaudouin wrote:
Hello :)
Si vous n'êtes pas au courant, FireFox vas pousser bientôt le DoH... Ce qui vas impliquer que vos resolveur locaux seront bypassé par Cloud Fare...
Bon il sont gentils ils ont fait un "canari test" sur un domaine chez Google... (bravo les GAFAM).
La doc est la : https://support.mozilla.org/en-US/kb/configuring-networks-disable-dns-over-h...
Le thread chez nos amis de l'Oarc : https://lists.dns-oarc.net/pipermail/dns-operations/2019-September/019179.ht...
A bientôt Xavier _______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/
Et une table ronde au prochain FRnOG: http://www.frnog.org/?page=frnog33&lang=en (dans deux jours)
-- Benjamin
-----Original Message----- From: FRsAG frsag-bounces@frsag.org On Behalf Of Rémy Grünblatt Sent: mercredi 11 septembre 2019 12:46 To: Xavier Beaudouin kiwi@oav.net; frsag frsag@frsag.org Subject: Re: [FRsAG] DoH / Firefox.
Bonjour,
Sur le sujet, on peut voir la conférence de Stéphane Bortzmeyer sur le sujet: https://tube.benzo.online/videos/watch/756a8447-5a27-408d-a513-611f0288e1dd
Ça permettra entre autres aux utilisateurs de Firefox de récupérer leur accès à Sci-Hub :)
Rémy
On 11/09/2019 11:59, Xavier Beaudouin wrote:
Hello :)
Si vous n'êtes pas au courant, FireFox vas pousser bientôt le DoH... Ce qui vas impliquer que vos resolveur locaux seront bypassé par Cloud Fare...
Bon il sont gentils ils ont fait un "canari test" sur un domaine chez Google... (bravo les GAFAM).
La doc est la : https://support.mozilla.org/en-US/kb/configuring-networks-disable-dns- over-https
Le thread chez nos amis de l'Oarc : https://lists.dns-oarc.net/pipermail/dns-operations/2019-September/019 179.html
A bientôt Xavier _______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/
Excusez si j'ai lu de travers ou trop rapidement, My english is not très bon.., mais, cela signifie que mes DNS locaux ne marcheront plus pour mes services internes ? En fait, j'ai une tapée de services en Domaintruc.com que j'héberge moi-même et pour lesquels l'IP interne n'est pas la même que l'IP publique. Est-ce que je suis un goret de bosser comme-ça ? Ou bien est-ce que je pourrais faire en sorte que mes résolutions locales soient.. locales ?
Et puis, éthiquement... CloudFlare, comment dire.. est-ce vraiment mieux que les DNS 8.8.8.8 de google ?
Le mer. 11 sept. 2019 à 14:03, Benjamin BILLON bbillon@splio.com a écrit :
Et une table ronde au prochain FRnOG: http://www.frnog.org/?page=frnog33&lang=en (dans deux jours)
-- Benjamin
-----Original Message----- From: FRsAG frsag-bounces@frsag.org On Behalf Of Rémy Grünblatt Sent: mercredi 11 septembre 2019 12:46 To: Xavier Beaudouin kiwi@oav.net; frsag frsag@frsag.org Subject: Re: [FRsAG] DoH / Firefox.
Bonjour,
Sur le sujet, on peut voir la conférence de Stéphane Bortzmeyer sur le sujet: https://tube.benzo.online/videos/watch/756a8447-5a27-408d-a513-611f0288e1dd
Ça permettra entre autres aux utilisateurs de Firefox de récupérer leur accès à Sci-Hub :)
Rémy
On 11/09/2019 11:59, Xavier Beaudouin wrote:
Hello :)
Si vous n'êtes pas au courant, FireFox vas pousser bientôt le DoH... Ce
qui vas impliquer que vos resolveur locaux seront bypassé par Cloud Fare...
Bon il sont gentils ils ont fait un "canari test" sur un domaine chez
Google... (bravo les GAFAM).
La doc est la : https://support.mozilla.org/en-US/kb/configuring-networks-disable-dns- over-https
Le thread chez nos amis de l'Oarc : https://lists.dns-oarc.net/pipermail/dns-operations/2019-September/019 179.html
A bientôt Xavier _______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/
Liste de diffusion du FRsAG http://www.frsag.org/
Le 11/09/2019 à 16:29, Olivier Vailleau a écrit :
Et puis, éthiquement... CloudFlare, comment dire.. est-ce vraiment mieux que les DNS 8.8.8.8 de google ?
Légèrement oui (être assez clean fait partie des conditions imposées par l’APNIC pour récupérer 1.1.1.1), surtout dans le cadre de leur accord avec Mozilla, qui a demandé des engagements assez forts.
Mais par rapport à son propre résolveur…
On 11/09/2019 16:36, Bruno Pagani wrote:
Le 11/09/2019 à 16:29, Olivier Vailleau a écrit :
Et puis, éthiquement... CloudFlare, comment dire.. est-ce vraiment mieux que les DNS 8.8.8.8 de google ?
Légèrement oui (être assez clean fait partie des conditions imposées par l’APNIC pour récupérer 1.1.1.1), surtout dans le cadre de leur accord avec Mozilla, qui a demandé des engagements assez forts.
Mais par rapport à son propre résolveur…
On doit pouvoir installer son propre serveur DOH qui utilise son résolveur local et le déclarer dans Firefox.
https://www.bortzmeyer.org/8484.html
https://github.com/m13253/dns-over-https : ça compile, ça s'installe, ça se configure, ça écoute sur le bon port en natif sans proxy, ça cause le TLS (pas allé plus loin dans les tests)
JFB
Date: Wed, 11 Sep 2019 16:29:18 From: Olivier Vailleau olivier.vailleau@gmail.com To: Benjamin BILLON bbillon@splio.com Cc: frsag frsag@frsag.org Subject: Re: [FRsAG] DoH / Firefox.
Excusez si j'ai lu de travers ou trop rapidement, My english is not très bon.., mais, cela signifie que mes DNS locaux ne marcheront plus pour mes services internes ? En fait, j'ai une tapée de services en Domaintruc.com que j'héberge moi-même et pour lesquels l'IP interne n'est pas la même que l'IP publique. Est-ce que je suis un goret de bosser comme-ça ? Ou bien est-ce que je pourrais faire en sorte que mes résolutions locales soient.. locales ?
J'ai aussi du split view/horizon DNS.
Mais bon, comme on utilise un proxy, la résolution ne devrait pas être faite par le client.
Et puis, éthiquement... CloudFlare, comment dire.. est-ce vraiment mieux que les DNS 8.8.8.8 de google ?
Non, ce n'est pas mieux.
Le 11/09/2019 à 16:37, Vu Ngoc VU a écrit :
Date: Wed, 11 Sep 2019 16:29:18 From: Olivier Vailleau olivier.vailleau@gmail.com To: Benjamin BILLON bbillon@splio.com Cc: frsag frsag@frsag.org Subject: Re: [FRsAG] DoH / Firefox.
Excusez si j'ai lu de travers ou trop rapidement, My english is not très bon.., mais, cela signifie que mes DNS locaux ne marcheront plus pour mes services internes ? En fait, j'ai une tapée de services en Domaintruc.com que j'héberge moi-même et pour lesquels l'IP interne n'est pas la même que l'IP publique. Est-ce que je suis un goret de bosser comme-ça ? Ou bien est-ce que je pourrais faire en sorte que mes résolutions locales soient.. locales ?
J'ai aussi du split view/horizon DNS.
Mais bon, comme on utilise un proxy, la résolution ne devrait pas être faite par le client.
Si j'ai bien compris : Firefox va tester si le TLD est publique et vérifier que la résolution locale ne renvoi pas une adresse privée. Si c'est l'un ou l'autre, DoH sera désactivé (combien de temps ?).
Du coup, pour moi, ça ne règle rien : Firefox va quand même faire une requête DNS sur le résolveur local, ce qu'ils veulent justement éviter.
Et dans le cas où tu cherche à ce que tes utilisateurs internes accèdent à un intranet en essayant d'accéder à ton site corporate par exemple, ben t'es chocolat puisque ce n'est ni une extension privée, ni une IP privée.
Ou sur du filtrage DNS en Cloud, par exemple.
Bref, ce n'est pas gagné cette histoire.
Et non, il n'y a, à ce jour, aucune garantie que Cloudflare soit plus gentil que Google. Et je doute que l'APNIC leur fasse bien peur.
Disons qu'ils n'ont pas encore été pris la main dans le pot de miel.
Julien
Bonjour,
Je n'ai rien eu le temps de tester pour l'instant, je creuse les idées en attendant ;-)
Suite au visionnage de cette video (merci m'sieur Bortzmeyer!) Je me demandais si quelqu'un a déjà eu l'idée/testé d'utiliser de l'authenfication en accedant un resolveur doh ?
L'idée que j'y vois est de pouvoir avoir un serveur sur le net (ip publique) auquel on peut via auth obtenir une mise en relation avec des différents résolveurs.
La prod pourrait être sans auth Avec de l'auth ca permetrait de tester une config de test/dev ou de forcer un résolveur pour une région/pays spécifique ou de permettre l'accès au résolution interne (LAN) ou que sais-je encore...
Puisque DOH béneficie de toute la *puissance* du web est ce qu'un
network.trr.uri = https://user:pass@doh.domain.tld/dns-query ou network.trr.resolvers = [{ "name": "CustomTest", "url": "https://user:pass@doh.domain.tld/dns-query" }]
a des chances de fonctionner ?
On 9/11/19 12:46 PM, Rémy Grünblatt wrote:
Bonjour,
Sur le sujet, on peut voir la conférence de Stéphane Bortzmeyer sur le sujet: https://tube.benzo.online/videos/watch/756a8447-5a27-408d-a513-611f0288e1dd
Ça permettra entre autres aux utilisateurs de Firefox de récupérer leur accès à Sci-Hub :)
Rémy
On 11/09/2019 11:59, Xavier Beaudouin wrote:
Hello :)
Si vous n'êtes pas au courant, FireFox vas pousser bientôt le DoH... Ce qui vas impliquer que vos resolveur locaux seront bypassé par Cloud Fare...
Bon il sont gentils ils ont fait un "canari test" sur un domaine chez Google... (bravo les GAFAM).
La doc est la : https://support.mozilla.org/en-US/kb/configuring-networks-disable-dns-over-h...
Le thread chez nos amis de l'Oarc : https://lists.dns-oarc.net/pipermail/dns-operations/2019-September/019179.ht...
A bientôt Xavier
Et, tiens, quelques jours après… https://blog.chromium.org/2019/09/experimenting-with-same-provider-dns.html
On 11/09/2019 11:59, Xavier Beaudouin wrote:
Hello :)
Si vous n'êtes pas au courant, FireFox vas pousser bientôt le DoH... Ce qui vas impliquer que vos resolveur locaux seront bypassé par Cloud Fare...
Bon il sont gentils ils ont fait un "canari test" sur un domaine chez Google... (bravo les GAFAM).
La doc est la : https://support.mozilla.org/en-US/kb/configuring-networks-disable-dns-over-h...
Le thread chez nos amis de l'Oarc : https://lists.dns-oarc.net/pipermail/dns-operations/2019-September/019179.ht...
A bientôt Xavier _______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/
"In other words, this would upgrade the protocol used for DNS resolution while keeping the user’s DNS provider unchanged."
Une fois encore, heureusement que chromium est là pour respecter la liberté des utilisateurs du web :)
On 9/12/19 10:43 AM, Rémy Grünblatt wrote:
Et, tiens, quelques jours après… https://blog.chromium.org/2019/09/experimenting-with-same-provider-dns.html
On 11/09/2019 11:59, Xavier Beaudouin wrote:
Hello :)
Si vous n'êtes pas au courant, FireFox vas pousser bientôt le DoH... Ce qui vas impliquer que vos resolveur locaux seront bypassé par Cloud Fare...
Bon il sont gentils ils ont fait un "canari test" sur un domaine chez Google... (bravo les GAFAM).
La doc est la : https://support.mozilla.org/en-US/kb/configuring-networks-disable-dns-over-h...
Le thread chez nos amis de l'Oarc : https://lists.dns-oarc.net/pipermail/dns-operations/2019-September/019179.ht...
A bientôt Xavier _______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/
Liste de diffusion du FRsAG http://www.frsag.org/
De mon côté, je travaille beaucoup avec des utilisateurs qui n'ont que peu de compétences informatiques, notamment mes clients qui ont des sites qu'on migre d'un serveur à l'autre. pour les faire tester dans les conditions réelles, on leur fait modifier le fichier hosts... ça va être chiant...
et comment on va pirater les licences adobe si y'a plus le fichiers hosts ?
Le 12/09/2019 à 11:00, frsag@jack.fr.eu.org a écrit :
"In other words, this would upgrade the protocol used for DNS resolution while keeping the user’s DNS provider unchanged."
Une fois encore, heureusement que chromium est là pour respecter la liberté des utilisateurs du web :)
On 9/12/19 10:43 AM, Rémy Grünblatt wrote:
Et, tiens, quelques jours après… https://blog.chromium.org/2019/09/experimenting-with-same-provider-dns.html
On 11/09/2019 11:59, Xavier Beaudouin wrote:
Hello :)
Si vous n'êtes pas au courant, FireFox vas pousser bientôt le DoH... Ce qui vas impliquer que vos resolveur locaux seront bypassé par Cloud Fare...
Bon il sont gentils ils ont fait un "canari test" sur un domaine chez Google... (bravo les GAFAM).
La doc est la : https://support.mozilla.org/en-US/kb/configuring-networks-disable-dns-over-h...
Le thread chez nos amis de l'Oarc : https://lists.dns-oarc.net/pipermail/dns-operations/2019-September/019179.ht...
A bientôt Xavier _______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/
Liste de diffusion du FRsAG http://www.frsag.org/
Liste de diffusion du FRsAG http://www.frsag.org/
-
Benjamin BILLON -
Bruno Pagani -
frsag@jack.fr.eu.org -
Gabriel CORRE -
Jean-Francois Billaud -
Julien Escario -
Maxime DERCHE -
Olivier Vailleau -
Pierre DOLIDON -
Rémy Grünblatt -
Vu Ngoc VU -
Xavier Beaudouin