DNS over HTTPS : Firefox prépare l'activation par défaut

Le par  |  13 commentaire(s)
firefox-nouveau-logo

Le chiffrement par défaut des requêtes DNS par défaut se rapproche pour Firefox. Des activations auront lieu en fin de mois pour des utilisateurs aux USA.

Pour DNS over HTTPS (alias DoH), Mozilla a récemment annoncé son intention de procéder aux premières activations par défaut à partir de la fin de ce mois de septembre. Un déploiement progressif se fera d'abord aux États-Unis.

Mozilla a décidé de s'appuyer sur les résolveurs de Cloudflare qui sont compatibles avec cette résolution DNS via le protocole HTTPS. C'est décidément un partenariat très à la mode pour Mozilla, avec également le test de Firefox Private Network.

Firefox-dns-https-doh
La perspective de ce chiffrement des requêtes DNS (pour la correspondance entre une adresse IP et un nom de domaine) avait valu à Mozilla d'être catalogué parmi les " méchants de l'Internet " par l'Internet Service Providers Association au Royaume-Uni.

Pour l'ISPA britannique, qui représente et défend les intérêts des fournisseurs d'accès à Internet, DNS over HTTPS risque d'être un obstacle à des obligations de filtrage et de contrôle parental. Reste que l'objectif principal de DoH est d'améliorer la sécurité et la protection de la vie privée face à de l'espionnage ou la manipulation de données DNS lors d'attaques man-in-the-middle.

Afin de répondre aux critiques, Mozilla défend l'approche qui a été adoptée et indique travailler avec des FAI pour prendre en compte des listes de blocage et avec une désactivation automatique de DoH. De même, si Firefox détecte des contrôles parentaux activés dans le système d'exploitation, le navigateur désactivera DoH.

Le travail sur DNS over HTTPS est poussé par Mozilla mais aussi Google. Dans Chrome 78, Google mènera une expérimentation auprès de quelques utilisateurs (sur toutes les platefomes sauf Linux et iOS). Il s'agira de valider l'implémentation de DoH dans Chrome et vérifier si le serveur DNS d'un utilisateur peut être mis à niveau vers un serveur DoH correspondant et disponible.

Complément d'information

Vos commentaires Page 1 / 2

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #2077930
Je ne vois pas trop la démarche recherchée, à part logguer et analyser le surf complet (sites visités) du navigateur.
Chez moi, c'est filtré, et le serveur DNS de la maison est en mode reccursif: aucun serveur DNS public n'a la liste complète des liste pornos que je fréquente.
Le #2077933
yam103 a écrit :

Je ne vois pas trop la démarche recherchée, à part logguer et analyser le surf complet (sites visités) du navigateur.
Chez moi, c'est filtré, et le serveur DNS de la maison est en mode reccursif: aucun serveur DNS public n'a la liste complète des liste pornos que je fréquente.


Intéressant. Tu utilises quoi ?
Le #2077935
skynet a écrit :

yam103 a écrit :

Je ne vois pas trop la démarche recherchée, à part logguer et analyser le surf complet (sites visités) du navigateur.
Chez moi, c'est filtré, et le serveur DNS de la maison est en mode reccursif: aucun serveur DNS public n'a la liste complète des liste pornos que je fréquente.


Intéressant. Tu utilises quoi ?


sa main droite......


ok je sors
Le #2077944
yam103 a écrit :

Je ne vois pas trop la démarche recherchée, à part logguer et analyser le surf complet (sites visités) du navigateur.
Chez moi, c'est filtré, et le serveur DNS de la maison est en mode reccursif: aucun serveur DNS public n'a la liste complète des liste pornos que je fréquente.


Idem pour le DNS maison en mode récursif (Unbound : https://nlnetlabs.nl/projects/unbound/about/ pour répondre à Skynet).

Je précise "en mode récursif" parce que beaucoup de tutos font la configuration type cache DNS avec requêtes envoyées sur 1-2 serveurs DNS (genre google, cloudflare etc).
Le #2077946
Padrys a écrit :

yam103 a écrit :

Je ne vois pas trop la démarche recherchée, à part logguer et analyser le surf complet (sites visités) du navigateur.
Chez moi, c'est filtré, et le serveur DNS de la maison est en mode reccursif: aucun serveur DNS public n'a la liste complète des liste pornos que je fréquente.


Idem pour le DNS maison en mode récursif (Unbound : https://nlnetlabs.nl/projects/unbound/about/ pour répondre à Skynet).

Je précise "en mode récursif" parce que beaucoup de tutos font la configuration type cache DNS avec requêtes envoyées sur 1-2 serveurs DNS (genre google, cloudflare etc).


Merci pour l'info ...
Jamais utilisé de DNS en mode récursif.
Tu aurais un bon tuto "valable" pour Unbound ?
Le #2077948
mapool a écrit :

skynet a écrit :

yam103 a écrit :

Je ne vois pas trop la démarche recherchée, à part logguer et analyser le surf complet (sites visités) du navigateur.
Chez moi, c'est filtré, et le serveur DNS de la maison est en mode reccursif: aucun serveur DNS public n'a la liste complète des liste pornos que je fréquente.


Intéressant. Tu utilises quoi ?


sa main droite......


ok je sors


Correction, je suis gaucher
Le #2077949
skynet a écrit :

yam103 a écrit :

Je ne vois pas trop la démarche recherchée, à part logguer et analyser le surf complet (sites visités) du navigateur.
Chez moi, c'est filtré, et le serveur DNS de la maison est en mode reccursif: aucun serveur DNS public n'a la liste complète des liste pornos que je fréquente.


Intéressant. Tu utilises quoi ?


Pour ma part, Bind, le classique sous linux/unix.
en gros, dans /etc/named.conf, j'ai modifié quelques lignes:

acl homenetwork { 192.168.0.0/24; };
...
options {
...
listen-on port 53 { any; };
allow-transfer { homenetwork; };
allow-recursion { homenetwork; };
forwarders { };
dnssec-enable yes;
dnssec-validation no;
recursion yes;
..
}
Le #2077950
"travailler avec des FAI pour prendre en compte des listes de blocage" : c'est crétin ; ça enlève une grande partie de l'intérêt. J'espère que ça sera desactivable et qu'on pourra et garder son DNS et désactiver le filtrage FAI.
Le #2077957
skynet a écrit :

Padrys a écrit :

yam103 a écrit :

Je ne vois pas trop la démarche recherchée, à part logguer et analyser le surf complet (sites visités) du navigateur.
Chez moi, c'est filtré, et le serveur DNS de la maison est en mode reccursif: aucun serveur DNS public n'a la liste complète des liste pornos que je fréquente.


Idem pour le DNS maison en mode récursif (Unbound : https://nlnetlabs.nl/projects/unbound/about/ pour répondre à Skynet).

Je précise "en mode récursif" parce que beaucoup de tutos font la configuration type cache DNS avec requêtes envoyées sur 1-2 serveurs DNS (genre google, cloudflare etc).


Merci pour l'info ...
Jamais utilisé de DNS en mode récursif.
Tu aurais un bon tuto "valable" pour Unbound ?


Je me suis principalement inspiré de :
https://calomel.org/unbound_dns.html

Avec plusieurs modifs d'autres sources, j'en suis très satisfait, un dnsbench classe mon serveur privé au top.
La VM de ce serveur occupe 28Mo de ram
Le #2078010
Padrys a écrit :

skynet a écrit :

Padrys a écrit :

yam103 a écrit :

Je ne vois pas trop la démarche recherchée, à part logguer et analyser le surf complet (sites visités) du navigateur.
Chez moi, c'est filtré, et le serveur DNS de la maison est en mode reccursif: aucun serveur DNS public n'a la liste complète des liste pornos que je fréquente.


Idem pour le DNS maison en mode récursif (Unbound : https://nlnetlabs.nl/projects/unbound/about/ pour répondre à Skynet).

Je précise "en mode récursif" parce que beaucoup de tutos font la configuration type cache DNS avec requêtes envoyées sur 1-2 serveurs DNS (genre google, cloudflare etc).


Merci pour l'info ...
Jamais utilisé de DNS en mode récursif.
Tu aurais un bon tuto "valable" pour Unbound ?


Je me suis principalement inspiré de :
https://calomel.org/unbound_dns.html

Avec plusieurs modifs d'autres sources, j'en suis très satisfait, un dnsbench classe mon serveur privé au top.
La VM de ce serveur occupe 28Mo de ram


Un grand merci
Suivre les commentaires
Poster un commentaire
Anonyme
Anonyme