DNS over HTTPS : Firefox prépare l'activation par défaut

Le par Jérôme G.  |  13 commentaire(s)
firefox-nouveau-logo

Le chiffrement par défaut des requêtes DNS par défaut se rapproche pour Firefox. Des activations auront lieu en fin de mois pour des utilisateurs aux USA.

Pour DNS over HTTPS (alias DoH), Mozilla a récemment annoncé son intention de procéder aux premières activations par défaut à partir de la fin de ce mois de septembre. Un déploiement progressif se fera d'abord aux États-Unis.

Mozilla a décidé de s'appuyer sur les résolveurs de Cloudflare qui sont compatibles avec cette résolution DNS via le protocole HTTPS. C'est décidément un partenariat très à la mode pour Mozilla, avec également le test de Firefox Private Network.

Firefox-dns-https-doh
La perspective de ce chiffrement des requêtes DNS (pour la correspondance entre une adresse IP et un nom de domaine) avait valu à Mozilla d'être catalogué parmi les " méchants de l'Internet " par l'Internet Service Providers Association au Royaume-Uni.

Pour l'ISPA britannique, qui représente et défend les intérêts des fournisseurs d'accès à Internet, DNS over HTTPS risque d'être un obstacle à des obligations de filtrage et de contrôle parental. Reste que l'objectif principal de DoH est d'améliorer la sécurité et la protection de la vie privée face à de l'espionnage ou la manipulation de données DNS lors d'attaques man-in-the-middle.

Afin de répondre aux critiques, Mozilla défend l'approche qui a été adoptée et indique travailler avec des FAI pour prendre en compte des listes de blocage et avec une désactivation automatique de DoH. De même, si Firefox détecte des contrôles parentaux activés dans le système d'exploitation, le navigateur désactivera DoH.

Le travail sur DNS over HTTPS est poussé par Mozilla mais aussi Google. Dans Chrome 78, Google mènera une expérimentation auprès de quelques utilisateurs (sur toutes les platefomes sauf Linux et iOS). Il s'agira de valider l'implémentation de DoH dans Chrome et vérifier si le serveur DNS d'un utilisateur peut être mis à niveau vers un serveur DoH correspondant et disponible.

  • Partager ce contenu :
Cette page peut contenir des liens affiliés. Si vous achetez un produit depuis ces liens, le site marchand nous reversera une commission sans que cela n'impacte en rien le montant de votre achat. En savoir plus.
Complément d'information

Vos commentaires Page 1 / 2

Trier par : date / pertinence
yam103 offline Hors ligne VIP icone 19640 points
Le #2077930
Je ne vois pas trop la démarche recherchée, à part logguer et analyser le surf complet (sites visités) du navigateur.
Chez moi, c'est filtré, et le serveur DNS de la maison est en mode reccursif: aucun serveur DNS public n'a la liste complète des liste pornos que je fréquente.
skynet away Absent VIP icone 88106 points
Le #2077933
yam103 a écrit :

Je ne vois pas trop la démarche recherchée, à part logguer et analyser le surf complet (sites visités) du navigateur.
Chez moi, c'est filtré, et le serveur DNS de la maison est en mode reccursif: aucun serveur DNS public n'a la liste complète des liste pornos que je fréquente.


Intéressant. Tu utilises quoi ?
mapool offline Hors ligne VIP avatar 10467 points
Le #2077935
skynet a écrit :

yam103 a écrit :

Je ne vois pas trop la démarche recherchée, à part logguer et analyser le surf complet (sites visités) du navigateur.
Chez moi, c'est filtré, et le serveur DNS de la maison est en mode reccursif: aucun serveur DNS public n'a la liste complète des liste pornos que je fréquente.


Intéressant. Tu utilises quoi ?


sa main droite......


ok je sors
Padrys offline Hors ligne Vénéré icone 4273 points
Le #2077944
yam103 a écrit :

Je ne vois pas trop la démarche recherchée, à part logguer et analyser le surf complet (sites visités) du navigateur.
Chez moi, c'est filtré, et le serveur DNS de la maison est en mode reccursif: aucun serveur DNS public n'a la liste complète des liste pornos que je fréquente.


Idem pour le DNS maison en mode récursif (Unbound : https://nlnetlabs.nl/projects/unbound/about/ pour répondre à Skynet).

Je précise "en mode récursif" parce que beaucoup de tutos font la configuration type cache DNS avec requêtes envoyées sur 1-2 serveurs DNS (genre google, cloudflare etc).
skynet away Absent VIP icone 88106 points
Le #2077946
Padrys a écrit :

yam103 a écrit :

Je ne vois pas trop la démarche recherchée, à part logguer et analyser le surf complet (sites visités) du navigateur.
Chez moi, c'est filtré, et le serveur DNS de la maison est en mode reccursif: aucun serveur DNS public n'a la liste complète des liste pornos que je fréquente.


Idem pour le DNS maison en mode récursif (Unbound : https://nlnetlabs.nl/projects/unbound/about/ pour répondre à Skynet).

Je précise "en mode récursif" parce que beaucoup de tutos font la configuration type cache DNS avec requêtes envoyées sur 1-2 serveurs DNS (genre google, cloudflare etc).


Merci pour l'info ...
Jamais utilisé de DNS en mode récursif.
Tu aurais un bon tuto "valable" pour Unbound ?
yam103 offline Hors ligne VIP icone 19640 points
Le #2077948
mapool a écrit :

skynet a écrit :

yam103 a écrit :

Je ne vois pas trop la démarche recherchée, à part logguer et analyser le surf complet (sites visités) du navigateur.
Chez moi, c'est filtré, et le serveur DNS de la maison est en mode reccursif: aucun serveur DNS public n'a la liste complète des liste pornos que je fréquente.


Intéressant. Tu utilises quoi ?


sa main droite......


ok je sors


Correction, je suis gaucher
yam103 offline Hors ligne VIP icone 19640 points
Le #2077949
skynet a écrit :

yam103 a écrit :

Je ne vois pas trop la démarche recherchée, à part logguer et analyser le surf complet (sites visités) du navigateur.
Chez moi, c'est filtré, et le serveur DNS de la maison est en mode reccursif: aucun serveur DNS public n'a la liste complète des liste pornos que je fréquente.


Intéressant. Tu utilises quoi ?


Pour ma part, Bind, le classique sous linux/unix.
en gros, dans /etc/named.conf, j'ai modifié quelques lignes:

acl homenetwork { 192.168.0.0/24; };
...
options {
...
listen-on port 53 { any; };
allow-transfer { homenetwork; };
allow-recursion { homenetwork; };
forwarders { };
dnssec-enable yes;
dnssec-validation no;
recursion yes;
..
}
kerlutinoec away Absent VIP icone 14791 points
Le #2077950
"travailler avec des FAI pour prendre en compte des listes de blocage" : c'est crétin ; ça enlève une grande partie de l'intérêt. J'espère que ça sera desactivable et qu'on pourra et garder son DNS et désactiver le filtrage FAI.
Padrys offline Hors ligne Vénéré icone 4273 points
Le #2077957
skynet a écrit :

Padrys a écrit :

yam103 a écrit :

Je ne vois pas trop la démarche recherchée, à part logguer et analyser le surf complet (sites visités) du navigateur.
Chez moi, c'est filtré, et le serveur DNS de la maison est en mode reccursif: aucun serveur DNS public n'a la liste complète des liste pornos que je fréquente.


Idem pour le DNS maison en mode récursif (Unbound : https://nlnetlabs.nl/projects/unbound/about/ pour répondre à Skynet).

Je précise "en mode récursif" parce que beaucoup de tutos font la configuration type cache DNS avec requêtes envoyées sur 1-2 serveurs DNS (genre google, cloudflare etc).


Merci pour l'info ...
Jamais utilisé de DNS en mode récursif.
Tu aurais un bon tuto "valable" pour Unbound ?


Je me suis principalement inspiré de :
https://calomel.org/unbound_dns.html

Avec plusieurs modifs d'autres sources, j'en suis très satisfait, un dnsbench classe mon serveur privé au top.
La VM de ce serveur occupe 28Mo de ram
skynet away Absent VIP icone 88106 points
Le #2078010
Padrys a écrit :

skynet a écrit :

Padrys a écrit :

yam103 a écrit :

Je ne vois pas trop la démarche recherchée, à part logguer et analyser le surf complet (sites visités) du navigateur.
Chez moi, c'est filtré, et le serveur DNS de la maison est en mode reccursif: aucun serveur DNS public n'a la liste complète des liste pornos que je fréquente.


Idem pour le DNS maison en mode récursif (Unbound : https://nlnetlabs.nl/projects/unbound/about/ pour répondre à Skynet).

Je précise "en mode récursif" parce que beaucoup de tutos font la configuration type cache DNS avec requêtes envoyées sur 1-2 serveurs DNS (genre google, cloudflare etc).


Merci pour l'info ...
Jamais utilisé de DNS en mode récursif.
Tu aurais un bon tuto "valable" pour Unbound ?


Je me suis principalement inspiré de :
https://calomel.org/unbound_dns.html

Avec plusieurs modifs d'autres sources, j'en suis très satisfait, un dnsbench classe mon serveur privé au top.
La VM de ce serveur occupe 28Mo de ram


Un grand merci
icone Suivre les commentaires
Poster un commentaire