Journal Quad9, résolveur DNS public, et sécurisé par TLS

Posté par (page perso) . Licence CC by-sa
42
16
nov.
2017
Ce journal a été promu en dépêche : Quad9, résolveur DNS public, et sécurisé par TLS.

Le résolveur DNS Quad9 (prononcer « quoi de neuf » en français) a été annoncé aujourd'hui. C'est un résolveur DNS public, mais dont l'originalité est d'être accessible de manière sécurisée, avec TLS (DNS sur TLS est décrit dans le RFC 7858).

Alors, l·e·a lect·eur·rice de LinuxFr.org, étant super au courant, va dire « mais des résolveurs DNS publics, il y en a plein ! Pourquoi un de plus ? ». Le plus connu est Google Public DNS mais il en existe beaucoup d'autres, avec des politiques et des caractéristiques techniques diverses. Notamment, tous (à l'exception de Cisco OpenDNS) sont non sécurisés : le lien entre vous et le résolveur est en clair, tout le monde peut écouter, et il n'est pas authentifié, donc vous croyez parler à Google Public DNS mais en fait vous parlez au tricheur que votre FAI a annoncé dans ses réseaux locaux.

Et Quad9, c'est mieux, alors ? D'abord, c'est géré par l'organisme sans but lucratif bien connu PCH, qui gère une bonne partie de l'infrastructure du DNS (et qui sont des copains, oui, je suis subjectif),

Quad9, lui, sécurise par TLS (RFC 7858). Cela permet d'éviter l'écoute par un tiers, et cela permet d'authentifier le résolveur (mais attention je n'ai pas encore testé ce point, Quad9 ne semble pas distribuer de manière authentifiée ses clés publiques).

Question politique, des points à noter :

  • Quad9 s'engage à ne pas stocker votre adresse IP,
  • leur résolveur est un résolveur menteur : il ne répond pas (délibérement) pour les noms de domaines considérant comme lié à des activités néfastes comme la distribution de logiciel malveillant.

L'adresse IPv4 de Quad9, comme son nom l'indique, est 9.9.9.9. Son adresse IPv6 est 2620:fe::fe. D'abord, un accès classique en UDP en clair, sur votre Linux favorite :

% dig +nodnssec @9.9.9.9 AAAA irtf.org   

; <<>> DiG 9.10.3-P4-Ubuntu <<>> +nodnssec @9.9.9.9 AAAA irtf.org
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 11544
;; flags: qr rd ra ad; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;irtf.org.      IN AAAA

;; ANSWER SECTION:
irtf.org.       1325 IN AAAA 2001:1900:3001:11::2c

;; Query time: 4 msec
;; SERVER: 9.9.9.9#53(9.9.9.9)
;; WHEN: Thu Nov 16 09:49:41 +08 2017
;; MSG SIZE  rcvd: 65

On y voit que Quad9 valide avec DNSSEC (la réponse a bien le bit AD - Authentic Data).

Maintenant, testons la nouveauté importante de ce service, DNS sur TLS. C'est du TLS donc on peut y aller avec openssl :

% openssl s_client -connect \[2620:fe::fe\]:853 -showcerts

On voit que Quad9 répond bien en TLS, et a un certificat Let's Encrypt.

Testons ensuite avec un client DNS, le programme getdns_query distribué avec getdns (l'option -l L lui dit d'utiliser DNS sur TLS) :

% getdns_query @9.9.9.9 -s -l L www.afnic.fr AAAA
{
  "answer_type": GETDNS_NAMETYPE_DNS,
  "canonical_name": <bindata for lb01-1.nic.fr.>,
  "just_address_answers":
  [
    {
      "address_data": <bindata for 2001:67c:2218:30::24>,
      "address_type": <bindata of "IPv6">
    }
 ...

On peut utiliser tshark pour vérifier qu'on est bien en TLS :

% tshark -n -i eth0  -d tcp.port==853,ssl host 9.9.9.9 

Le -d tcp.port==853,ssl était là pour dire à tshark d'interpréter ce qui passe sur le port 853 (celui de DNS-sur-TLS) comme étant du TLS. On voit bien le dialogue TLS mais évidemment pas les questions et réponses DNS puique tout est chiffré.

Bien, maintenant que les tests se passent bien, comment utiliser Quad9 pour la vraie résolution de noms ? On va utiliser stubby pour parler à Quad9. Le fichier de configuration Stubby sera du genre:

[En fait, je ne peux pas le mettre, LinuxFr interprète son contenu et f…e en l'air tout le maraquage. Il va falloir que vous me croyiez sur parole.]

On indique à stubby d'écouter sur l'adresse locale ::1, port 8053, et de faire suivre les requêtes en DNS sur TLS à 9.9.9.9 ou 2620:fe::fe. On lance stubby :

% stubby   

Et on peut le tester, en utilisant dig pour interroger à l'adresse et au port indiqué :

[Idem, quelque chose dans le résultat de dig ne plait pas à LinuxFr]

Et on peut vérifier avec tshark que Stubby parle bien avec Quad9, et en utilisant TLS.

Stubby a l'avantage de bien gérer TCP, notamment en réutilisant les connexions (il serait très coûteux d'établir une connexion TCP pour chaque requête DNS, surtout avec TLS par dessus). Mais il n'a pas de cache des réponses, ce qui peut être ennuyeux si on est loin de Quad9. Pour cela, le plus simple est d'ajouter un vrai résolveur, ici Unbound. On le configure ainsi :

[Configuration Unbound supprimée pour les mêmes raisons.]

Avec cette configuration, Unbound va écouter sur l'adresse 127.0.0.1 (sur le port par défaut, 53, le port du DNS) et relayer les requêtes pour lesquelles il n'a pas déjà une réponse dans son cache vers Stubby (::1, port 8053). Interrogeons Unbound :

[Et encore un dig supprimé]

Unbound a une mémoire (le cache) donc si on recommance la requête aussitôt, la réponse arrivera bien plus vite et on verra le TTL diminué.

Pour en savoir plus :
- le site de référence
- leur politique de vie privée
- la FAQ
- l'excellente bibliothèque getdns, le must pour faire du DNS en C
- stubby
- et toujours dans la série « les copains et les copines », le projet DNS privacy.

  • # [HS] C'est lisible pour quelqu'un?

    Posté par (page perso) . Évalué à 10 (+59/-21). Dernière modification le 16/11/17 à 17:40.

    l·e·a lect·eur·rice

    Sérieusement vous trouvez ça lisible?
    Ca n'a rien à voir avec le féminisme, c'est juste rendre votre prose illisible / difficile à déchiffrer. Si vous voulez ne pas associer un genre masculin pour le genre neutre (admettons que le neutre n'existe pas), il y a tant de possibilités nettement plus lisibles.

    Surtout quand "Alors, vous allez allez me dire", par exemple, aurait fait l'affaire pour rendre la phrase neutre au niveau du genre, mais certes n'a pas le plaisir de faire souffrir la personne qui qui essaye de décrypter la phrase car le sujet l’intéresse (mais ça se mérite de lire monsieur, voila).

    • [^] # Re: [HS] C'est lisible pour quelqu'un?

      Posté par . Évalué à -10 (+12/-48).

      Sérieusement vous trouvez ça lisible?

      Oui.

      D'ot questions ?

      • [^] # Re: [HS] C'est lisible pour quelqu'un?

        Posté par . Évalué à 10 (+28/-5).

        Sérieusement vous trouvez ça lisible?

        Non et en plus ça pose problème pour les outils et périphériques d'aide à lecture.

        • [^] # Re: [HS] C'est lisible pour quelqu'un?

          Posté par . Évalué à 10 (+26/-3).

          Pourtant il existe un moyen qui est agréable à la lecture, il s'agit du doublet épicène. Ça produit un texte lisible sans échecs cognitifs, sans innovation typographique ou autre. Après certains et certaines trouvent cela lourd. Je trouve pour ma part que ce n'est pas excessivement lourd. Je suis d'accord avec l'objectif de ce type de rédaction, et sachant que le doublet ne perturbe pas la lecture, je suis favorable à son usage en lieu et place de toutes ces innovations typographiques. Il convient bien entendu de prendre quelques précautions, comme le choix aléatoire de l'ordre du doublet si on veut avoir une symétrie.

          Reprenons l'exemple initial, version originale :

          Alors, l·e·a lect·eur·rice de LinuxFr.org, étant super au courant,

          Avec l'utilisation du doublet, version singulier (pas ma préférée, mais la plus proche de la version originale) :

          Alors, le lecteur ou la lectrice de LinuxFr.org, étant super au courant,

          Ou en version plurielle (ma préférée) :

          Alors, les lecteurs et lectrices de LinuxFr.org, étant super au courant,

          À vous de choisir ce que vous trouvez le plus lisible, moi j'ai fait mon choix.

          P.S. : Pour ma part, je suis heureux d'avoir passé outre cette phrase dont la typo me gène, car le reste du journal est vraiment très bien.

          • [^] # Re: [HS] C'est lisible pour quelqu'un?

            Posté par (page perso) . Évalué à 10 (+14/-1).

            Effectivement le doublet épicène (j'en ignorais le nom) paraît une solution efficace à ce qui naguère n'était pas un problème. Mais… à partir du moment où des gens à courtes vues font l'effort de l'employer à tort et à travers, ils distordent la notion de genre grammatical. Et ça c'est pour le coup un véritable problème. Parce que chaque phrase où un malheureux quidam (ou une malheureuse quidam ; ah non pardon quaedam peut-être, ou quaedamae ?) oubliera de dédoubler ses expressions elles ne concerneront plus qu'une minorité de l'humanité. L'idée à son paroxysme aboutirait à ce qu'au lieu « d'un des plus brillant scientifique français » il faille par exemple formuler « un des plus brillant parmi les scientifique français, hommes et femmes compris » ; après être passé « d'un des plus remarquable auteur parmi les romanciers » à « un des plus remarquable auteur parmi les romanciers et romancières » (exemple emprunté à B. Pivot si je ne me trompe). Comme quoi le ridicule peut tuer ; les langues au moins [].
            Quant à moi j'ai choisi : je ne lis plus les textes employant de manière trop marquée la novlangue. Les « sociétales » pour dire « sociale » et autres césure sexistes [
            *] arbitraires du genre grammatical me semblent marquer le niveau zéro de la réflexion de l'auteur — celui de la personne n'ayant même pas remarqué qu'elle ne parle pas l'anglais, mais une langue avec des genre grammaticaux nettement marqués et découplés de toute espèce de lien avec le sexe ou la sexualité, une langue avec un dictionnaire propre non publié par Harrap — et sa tendance à n'être qu'un fétu balloté par les modes d'outre atlantique ou de la perfide Albion :-).

            [] Conférer http://www.academie-francaise.fr/actualites/declaration-de-lacademie-francaise-sur-lecriture-dite-inclusive.
            [
            *] remarquables que les deux mots désignent en fait l'un l'état et l'autre l'action de séparation (CAESURA = coupure, SECARE = couper).

            • [^] # Re: [HS] C'est lisible pour quelqu'un?

              Posté par . Évalué à 3 (+2/-1).

              D'habitude j'aime pas être chiant, mais se planter dans les accords en nombre dans un post sur les accords en genre, ça fait mauvais gen… Bref, c'est cadeau.

              un des plus brillant scientifiques français
              un des plus brillants parmi les scientifiques français, hommes et femmes compris

              un des plus remarquables auteurs parmi les romanciers

              (2 occurrences)

              En fait, tu fais à chaque fois la même erreur : dans "un des plus grands ", "grands" s'écrit au pluriel parce qu'il ne fait référence au sujet (singulier) qu'indirectement : il s'accorde en fait avec le pronom "les" (un parmi les plus grands).

              Enfin, un dernier pour la route :

              outre-atlantique

              Ça, ce sont les sources. Le mouton que tu veux est dedans.

              • [^] # Re: [HS] C'est lisible pour quelqu'un?

                Posté par . Évalué à 4 (+2/-0). Dernière modification le 17/11/17 à 11:13.

                Pour la petite histoire, j'ai voulu mettre en gras mes modifs, mais pour une raison que j'ignore, le balisage Markdown ne marche (dans l'aperçu) que s'il est précédé d'une espace. J'ai donc viré les astérisques en trop… Et un s est passé à la trappe, ce qui est le comble puisque c'est ce sur quoi portait mon post ><. Nouvel essai donc.

                un des plus brillants scientifiques français

                Si quelqu'un sait comment mettre en gras en milieu de mot, je suis preneur ;)

                Ça, ce sont les sources. Le mouton que tu veux est dedans.

                • [^] # Re: [HS] C'est lisible pour quelqu'un?

                  Posté par (page perso) . Évalué à 4 (+2/-0).

                  Merci. Le progrès est à peine crédible. Il y a quelques années, outre les verbes à la troisième personne du pluriel conjugués avec un s et les participes passés à l'infinitif, je ne pouvais pas aligner quatre mots — enfin trois car un restait bloqué dans l'interface chaise clavier — sans pratiquer le jumelage entre homophones. LinuxFr a du bon… Merci encore à tous ceux qui m'ont repris au fil des années ; et pardon aux victimes ; notons néanmoins que les remerciements des ophtalmologistes sont toujours attendus.

              • [^] # Re: [HS] C'est lisible pour quelqu'un?

                Posté par . Évalué à 2 (+3/-3).

                Ça se discute, tout dépend à qui se réfère l'adjectif épithète. Ces trois phrases me semblent correctes, mais n'expriment pas la même chose :

                • une des plus brillante scientifiques du siècle dernier est, sans hésitation, Marie Curie
                • une des plus brillants scientifiques du siècle dernier est, sans hésitation, Marie Curie
                • une des plus brillantes scientifiques du siècle dernier est, sans hésitation, Marie Curie

                dans la première, seule Marie Curie est qualifiée de brillante.

                Sapere aude ! Aie le courage de te servir de ton propre entendement. Voilà la devise des Lumières.

        • [^] # Re: [HS] C'est lisible pour quelqu'un?

          Posté par (page perso) . Évalué à -9 (+5/-16).

          FUD

          • [^] # Re: [HS] C'est lisible pour quelqu'un?

            Posté par . Évalué à 10 (+19/-3).

            Pas du tout: ma fille utilise un outil d'aide à la lecture appelé "Papa", et ça lui pose problème:
            Il trouve ça désagréable.

            ------> [ ]

            • [^] # Re: [HS] C'est lisible pour quelqu'un?

              Posté par . Évalué à 10 (+16/-1).

              D'un autre côté, si tu lis à ta fille des articles sur les résolveurs DNS publics sécurisés par TLS, surtout à voix haute, je comprends que ça soit désagréable.

              Ça, ce sont les sources. Le mouton que tu veux est dedans.

          • [^] # Re: [HS] C'est lisible pour quelqu'un?

            Posté par (page perso) . Évalué à -1 (+10/-12).

            C'est dingue, y'a une forme qui vous dérange et vous êtes capables de vous enflammer pendant 25 commentaires à chaque journal / forum et devenir avec exactement les mêmes arguments, la même chronologie, les mêmes remarques les chevaliers de la langue française.

            Ça fait plusieurs fois que ça arrive et je comprends vraiment pas cette boucle temporelle : c'est clairement pas le bon endroit pour en discuter, et vous convaincrez personne. Dans un sens comme dans l'autre. Surtout que c'est régulièrement des journaux au contenu vraiment intéressants qui sont totalement pollués par ce genre de commentaires.

            • [^] # Re: [HS] C'est lisible pour quelqu'un?

              Posté par (page perso) . Évalué à 9 (+13/-5).

              Hélas, c'est régulièrement des journaux au contenu vraiment intéressants qui sont totalement pollués par ce genre de pratiques.

              La connaissance libre : https://zestedesavoir.com

            • [^] # Re: [HS] C'est lisible pour quelqu'un?

              Posté par . Évalué à 5 (+7/-4).

              je comprends vraiment pas cette boucle temporelle : c'est clairement pas le bon endroit pour en discuter, et vous convaincrez personne.

              Ben typiquement, le fait de discuter sur le fait que quelqu'un écrive un truc ici sous une forme illisible ne me choque absolument pas. Tu as beau tourner le truc dans tous les sens, l'écriture inclusive a le gros défaut de nuire à la lisibilité et à la fluidité de la lecture. La raison personnellement je m'en fiche, j'aimerais juste avoir un texte facile à lire. Certains ont donné des suggestions pour permettre cette fluidité, et ce genre de remarque a tout à fait sa place. Il n'y a aucune volonté de défendre la langue française en tant que telle, mais juste une volonté de ne pas se fatiguer à lire cette horreur qu'est l'écriture inclusive.

          • [^] # Re: [HS] C'est lisible pour quelqu'un?

            Posté par . Évalué à 8 (+10/-3).

            Je me demande ce que ça donne pour un non-voyant qui utilise un périphérique braille par exemple, mais j'ai peur du résultat.

            Pour moi l'accessibilité aux personnes qui ont un handicap est plus importante que la défense des fautes de grammaire volontaires revendicatives.

    • [^] # Re: [HS] C'est lisible pour quelqu'un?

      Posté par (page perso) . Évalué à 10 (+17/-1).

    • [^] # Re: [HS] C'est lisible pour quelqu'un?

      Posté par . Évalué à 10 (+11/-2).

      Je pense qu'iel a fait exprès.

    • [^] # Re: [HS] C'est lisible pour quelqu'un?

      Posté par . Évalué à 2 (+10/-10).

      Moi je trouve pas ça lisible, et j'ai d'ailleurs arrêté après avoir vu ça.

    • [^] # Re: [HS] C'est lisible pour quelqu'un?

      Posté par . Évalué à 1 (+12/-13).

      D'ailleurs, quitte à faire de l'intégrisme idiotlogique , autant aller au bout des choses !

      L·e·a résolv·eur·atrice DNS Quad9 (prononcer « quoi de neu·f·ve » en français·e) a été annoncé·e aujourd'hui. C'est un·e résolv·eur·atrice DNS publi·c·que, mais dont l'originalité est d'être accessible de manière sécurisé·e, avec TLS (DNS sur TLS est décrit·e dans l·e·a RFC 7858).

      Alors, l·e·a lect·eur·rice de LinuxFr.org, étant super au courant, va dire « mais des résolv·eurs·atrices DNS publi·cs·ques, il y en a plein ! Pourquoi un·e de plus ? ». L·e·a plus connu·e est Google Public DNS mais il en existe beaucoup d'autres, avec des politiques et des caractéristiques techniques divers·es. Notamment, tou·te·s (à l'exception de Cisco OpenDNS) sont non sécurisé·e·s : l·e·a lien·ne entre vous et l·e·a résolv·eur·atrice est en clair·e, tout·e l·e·a monde peut écouter, et i·e·l n'est pas authentifié·e, donc vous croyez parler à Google Public DNS mais en fait vous parlez au·à·la trich·eur·euse que votre FAI a annoncé dans ses réseaux loc·aux·ales.

      ·

      • [^] # Re: [HS] C'est lisible pour quelqu'un?

        Posté par . Évalué à 7 (+9/-4).

        Je proteste ! Le féminin de résolveur n'est pas résolvatrice mais bien résolutrice ! Je propose donc la réécriture suivante, plus correcte :

        L·e·a résol·veur·utrice DNS Quad9 (prononcer « quoi de neu·f·ve » en français·e) a été annoncé·e aujourd'hui. C'est un·e résol·veur·utrice DNS publi·c·que, mais dont l'originalité est d'être accessible de manière sécurisé·e, avec TLS (DNS sur TLS est décrit·e dans l·e·a RFC 7858).

        Alors, l·e·a lect·eur·rice de LinuxFr.org, étant super au courant, va dire « mais des résol·veur·utrice DNS publi·cs·ques, il y en a plein ! Pourquoi un·e de plus ? ». L·e·a plus connu·e est Google Public DNS mais il en existe beaucoup d'autres, avec des politiques et des caractéristiques techniques divers·es. Notamment, tou·te·s (à l'exception de Cisco OpenDNS) sont non sécurisé·e·s : l·e·a lien·ne entre vous et l·e·a résol·veur·utrice est en clair·e, tout·e l·e·a monde peut écouter, et i·e·l n'est pas authentifié·e, donc vous croyez parler à Google Public DNS mais en fait vous parlez au·à·la trich·eur·euse que votre FAI a annoncé dans ses réseaux loc·aux·ales.

        Ça, ce sont les sources. Le mouton que tu veux est dedans.

        • [^] # Re: [HS] C'est lisible pour quelqu'un?

          Posté par . Évalué à -7 (+2/-9).

          Résolveur est masculin et ça suffit ! L'écriture inclusive n'a jamais concerné les mots dont le type est connu. Faut arrêter de se baser sur la version en parodie d'écriture inclusive de la fable du corbeau et du renard publiée dans Minute !

    • [^] # Re: [HS] C'est lisible pour quelqu'un?

      Posté par . Évalué à -10 (+6/-18).

      L'utilisation de l'inclusif n'a absolument pas d'autres but que de provoquer une réaction de ce type chez le lecteur. Et c'est pour cette raison qu'il ne faudra jamais s'en accommoder.

      La preuve étant qu'il n'est utilisé généralement qu'une seule fois dans un texte, histoire d'être placé (alors qu'on pourrait très bien écrire les lectrices et les lecteurs, qui aurait exactement la même démarche sémantique et ne provoquerait lui aucune réaction), mais il faut bien trigguer un peu le mâle cisgenre qu'il check un peu ses privilèges…

      • [^] # Re: [HS] C'est lisible pour quelqu'un?

        Posté par (page perso) . Évalué à 10 (+16/-5).

        J'ai en effet hésité à réagir, tellement cette méthode est nulle.
        J'ai aussi hésité à te répondre, pour la même raison.

        Allez, vite fait : mettre les gens qui ont un désaccord avec toi dans un case, unique "gens pas d'accord avec moi qu'ils soient juste en désaccord avec la méthode (et même si il parle d'autre méthodes pour arriver au même but) ou fan du forum 12-25" est plus en lien avec de l'intégrisme qu'avec une réflexion sur le sujet.

        Allez, je rallonge : rappeler le genre et l'orientation sexuelle d'une personne à tout bout de champs alors que ça n'a rien à voir avec le sujet, ça ressemble aussi plus à un problème psychologique par rapport à "l'autre" qu'à une réflexion (surtout quand ces critiques viennent aussi de lesbiennes).

        Des cases, toujours des cases…

        • [^] # Re: [HS] C'est lisible pour quelqu'un?

          Posté par . Évalué à 1 (+8/-9). Dernière modification le 17/11/17 à 09:14.

          Je pense que c'est utile de réagir malgré tout parce que ne pas le faire reviendrait à dire qu'on est implicitement d'accord avec ces méthodes et tout ce que cela implique en terme de construction sociale.

          L'inclusif divise les individus, rappelle que chacun doit s'identifier avant tout par son genre avant du simple fait d'être quelqu'un.

          Personnellement je pense qu'utiliser l'argument du "c'est pas lisible" pour le combattre n'est pas pertinent, il faut utiliser les mêmes arguments politiques et expliquer en quoi c'est néfaste socialement et délétère pour les relations humaines.

          • [^] # Re: [HS] C'est lisible pour quelqu'un?

            Posté par (page perso) . Évalué à 10 (+10/-2).

            Personnellement je pense qu'utiliser l'argument du "c'est pas lisible" pour le combattre n'est pas pertinent

            Si cela l'est. Mais faut encore le présenter intelligemment :

            • En alourdissant le style, cela insiste sur le genre (ou le non genre des gens) plutôt que d'être transparent. Cela confère une place prépondérante à cette question.
            • Cela complexifie la communication, qui est l'essence même d'une langue que de faciliter les échanges.
            • Cela ne résout pas le problème à l'oral.
            • En étant difficile à lire, il exclue des gens ayant des difficultés à lire, du genre les déficients visuels ou les dyslexiques. En voulant être inclusif, ils rendent leurs propos plus difficiles d'accès à des gens ayant déjà des difficultés dans cet exercice.

            Bref, ce n'est pas lisible est un argument valide. Mais il faut l'étayer un peu. C'est loin d'être négligeable comme aspect.

          • [^] # Re: [HS] C'est lisible pour quelqu'un?

            Posté par . Évalué à 10 (+13/-4).

            il faut utiliser les mêmes arguments politiques et expliquer en quoi c'est néfaste socialement et délétère pour les relations humaines

            Il n'y a pas d'accord en genre en arabe, ce qui a permis aux pays arabes d'être les havres de paix que l'on sait pour les femmes.

            Ça, ce sont les sources. Le mouton que tu veux est dedans.

            • [^] # Re: [HS] C'est lisible pour quelqu'un?

              Posté par . Évalué à 1 (+1/-2). Dernière modification le 19/11/17 à 17:53.

              Mais pas que de paix, d'égalité aussi et surtout…

              C'est amusant car c’était un des arguments des défenseurs de cet abomination. Comme quoi le ridicule ne tue pas.

          • [^] # Re: [HS] C'est lisible pour quelqu'un?

            Posté par . Évalué à 4 (+4/-2).

            Personnellement je pense qu'utiliser l'argument du "c'est pas lisible" pour le combattre n'est pas pertinent,

            oué ta réson on sen fou kse soi lizible.

    • [^] # Re: [HS] C'est lisible pour quelqu'un?

      Posté par . Évalué à -10 (+1/-18).

      Il n'y a que 4 points médians dans l'article, tous en début de texte faut vraiment être un·e gros·se con·ne pour écrire un commentaire sur ça.
      Pour ce·ux·lles que "con·ne" dérangerais, vous pouvez le remplacer par "mal comprenant·e" et dans ce cas, n'oubliez pas de laisser votre adresse pour que je vous invite à diner.

    • [^] # Re: [HS] C'est lisible pour quelqu'un?

      Posté par . Évalué à 10 (+12/-1).

      L'auteur a t-il songé réécrire son journal en Rust ?

  • # Pour afficher les configurations

    Posté par (page perso) . Évalué à 10 (+12/-0).

    Pour afficher les configurations, il faut utiliser trois accents graves pour les formater en tant que code et normalement ça fonctionne.

    Ici avec un exemple de conf Stubby (type yaml).

    resolution_type: GETDNS_RESOLUTION_STUB
    dns_transport_list:
      - GETDNS_TRANSPORT_TLS
    tls_authentication: GETDNS_AUTHENTICATION_REQUIRED
    tls_query_padding_blocksize: 256
    edns_client_subnet_private : 1
    idle_timeout: 10000
    listen_addresses:
      - 127.0.0.1
      -  0::1
    round_robin_upstreams: 1
    upstream_recursive_servers:
      - address_data: 185.49.141.38
        tls_auth_name: "getdnsapi.net"
        tls_pubkey_pinset:
          digest: "sha256"
           value: foxZRnIh9gZpWnl+zEiKa0EJ2rdCGroMWm02gaxSc9Q=

    Et une sortie Dig (type console) :

    $ dig linuxfr.org
    
    ; <<>> DiG 9.10.3-P4-Ubuntu <<>> linuxfr.org
    ;; global options: +cmd
    ;; Got answer:
    ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 12355
    ;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 13, ADDITIONAL: 1
    
    ;; OPT PSEUDOSECTION:
    ; EDNS: version: 0, flags:; udp: 4096
    ;; QUESTION SECTION:
    ;linuxfr.org.           IN  A
    
    ;; ANSWER SECTION:
    linuxfr.org.        476 IN  A   88.191.250.176
    
    ;; AUTHORITY SECTION:
    .           53534   IN  NS  c.root-servers.net.
    .           53534   IN  NS  b.root-servers.net.
    .           53534   IN  NS  a.root-servers.net.
    .           53534   IN  NS  l.root-servers.net.
    .           53534   IN  NS  g.root-servers.net.
    .           53534   IN  NS  e.root-servers.net.
    .           53534   IN  NS  m.root-servers.net.
    .           53534   IN  NS  h.root-servers.net.
    .           53534   IN  NS  f.root-servers.net.
    .           53534   IN  NS  j.root-servers.net.
    .           53534   IN  NS  k.root-servers.net.
    .           53534   IN  NS  d.root-servers.net.
    .           53534   IN  NS  i.root-servers.net.
    
    ;; Query time: 1 msec
    ;; SERVER: 127.0.1.1#53(127.0.1.1)
    ;; WHEN: Thu Nov 16 18:37:16 CET 2017
    ;; MSG SIZE  rcvd: 267

    La connaissance libre : https://zestedesavoir.com

    • [^] # Re: Pour afficher les configurations

      Posté par (page perso) . Évalué à 3 (+2/-1).

      Oui, c'est ce que j'ai tenté (comme pour les premières configs) mais ça échoue dans mon cas.

      • [^] # Re: Pour afficher les configurations

        Posté par (page perso) . Évalué à 4 (+3/-1).

        Bon, je ne sais pas ce que j'avais fait et en quoi c'est maintenant différent mais la config Stubby passe :

        listen_addresses:
          - 0::1@8053
        
        dns_transport_list:
          - GETDNS_TRANSPORT_TLS
        
        upstream_recursive_servers:
        # Quad9
           - address_data: 9.9.9.9
             tls_auth_name: "dns.quad9.net"
           - address_data: 2620:fe::fe
             tls_auth_name: "dns.quad9.net"
        
        • [^] # Re: Pour afficher les configurations

          Posté par (page perso) . Évalué à 4 (+3/-1).

          Et le résultat, en demandant à Stubby :

          % dig @::1 -p 8053 A www.catstuff.com 
          
          ; <<>> DiG 9.10.3-P4-Ubuntu <<>> @::1 -p 8053 A www.catstuff.com
          ; (1 server found)
          ;; global options: +cmd
          ;; Got answer:
          ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 20910
          ;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1
          
          ;; OPT PSEUDOSECTION:
          ; EDNS: version: 0, flags: do; udp: 65535
          ;; QUESTION SECTION:
          ;www.catstuff.com.  IN A
          
          ;; ANSWER SECTION:
          www.catstuff.com.   600 IN A 216.157.88.24
          
          ;; Query time: 974 msec
          ;; SERVER: ::1#8053(::1)
          ;; WHEN: Thu Nov 16 20:29:26 +08 2017
          ;; MSG SIZE  rcvd: 77
          
          • [^] # Re: Pour afficher les configurations

            Posté par (page perso) . Évalué à 4 (+3/-1).

            Et la config' Unbound :

            server:
               interface: 127.0.0.1
               do-not-query-localhost:  no
            forward-zone:
              name: "."
                forward-addr: ::1@8053
            

            Et la question posée à Unbound :

            % dig @127.0.0.1 A mastodon.gougere.fr
            
            ; <<>> DiG 9.10.3-P4-Ubuntu <<>> @127.0.0.1 A mastodon.gougere.fr
            ; (1 server found)
            ;; global options: +cmd
            ;; Got answer:
            ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 40668
            ;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1
            
            ;; OPT PSEUDOSECTION:
            ; EDNS: version: 0, flags: do; udp: 4096
            ;; QUESTION SECTION:
            ;mastodon.gougere.fr.   IN A
            
            ;; ANSWER SECTION:
            mastodon.gougere.fr.    600 IN A 185.167.17.10
            
            ;; Query time: 2662 msec
            ;; SERVER: 127.0.0.1#53(127.0.0.1)
            ;; WHEN: Thu Nov 16 20:36:09 +08 2017
            ;; MSG SIZE  rcvd: 64
            
  • # Résolveur DNS menteur

    Posté par (page perso) . Évalué à 10 (+12/-0).

    Pourquoi faire la promotion d’un n-ieme resolveur menteur ?

    • [^] # Re: Résolveur DNS menteur

      Posté par . Évalué à 10 (+9/-0).

      C'est effectivement un point assez problématique. D'après leur FAQ: "Will Quad9 filter content? No. Quad9 will not provide a censoring component and will limit its actions solely to the blocking of malicious domains around phishing, malware, and exploit kit domains." OK (si on passe sur la subtile "non on ne filtre pas le contenu, on bloque juste les domaines mailicieux"), mais sur quel critère ces sélections sont elles faites? Par qui?
      Aucun contrôle de la part de l'utilisateur; il me semble plus adéquat de filtrer les DNS en aval plutôt que de la centraliser sur le résolveur.

      À noter qu'ils donnent accès à un DNS sans blocklist, mais:
      Secure IP: 9.9.9.9 Blocklist, DNSSEC, No EDNS Client-Subnet
      Unsecure IP: 9.9.9.10 No blocklist, no DNSSEC, send EDNS Client-Subnet

      Le choix est étrange, pas de sécurisation sans la blocklist…

      • [^] # Re: Résolveur DNS menteur

        Posté par . Évalué à 6 (+5/-0).

        Il manque un code de réponse qui dirait « Contenu censuré », comme le code HTTP 451. Je ne sais pas si ça existe en DNS…

        • [^] # Re: Résolveur DNS menteur

          Posté par (page perso) . Évalué à 10 (+9/-1).

          Marrant, on en a discuté lundi à la réunion du groupe de travail DNSOP à l'IETF. Pour l'instant, ce n'est pas possible, le DNS n'offre que trop peu de codes de retour (SERVFAIL sert à un peu tout). Ce projet, adopté par le groupe de travail, permettra d'en avoir davantage. Donc, oui, après le 100 pour "DNSSEC Bogus", on pourrait avoir le 451.

          • [^] # Re: Résolveur DNS menteur

            Posté par . Évalué à 3 (+0/-0).

            L'intention est louable, mais j'ai du mal à imaginer un pouvoir politique qui bloque en disant "oui, celui-là, je le censure".

            Si tu prends le cas du GFW en Chine, par exemple, ils te répéteront à tout bout de champ que c'est le site en face qui déconne, il n'y a pas de censure (ce qui contredit le pouvoir, mais franchement est-on à ça près?).

            • [^] # Re: Résolveur DNS menteur

              Posté par . Évalué à -1 (+1/-3).

              La censure n'est pas que politique. Dès aujourd'hui, Firefox et Chrome « bloquent » certains sites avec un gros panneau rouge d'avertissement de site malveillant. C'est de la censure assumée.
              Dans le cas de Quad9, un code de retour serait utile, au lieu d'avoir une requête HTTP et retour en JSON.

              Bon, après, entre le résolveur qui doit interpréter ce code, et le logiciel qui n'a probablement aucun moyen de savoir que ce code a été renvoyé… C'est surtout pour le debug.

              • [^] # Re: Résolveur DNS menteur

                Posté par . Évalué à 5 (+4/-1). Dernière modification le 18/11/17 à 10:10.

                La censure n'est pas que politique. Dès aujourd'hui, Firefox et Chrome « bloquent » certains sites avec un gros panneau rouge d'avertissement de site malveillant. C'est de la censure assumée.

                Euh non, cela protège de sites… malveillants, justement.

                Je préfère mille fois que des sites frauduleux/malveillants soient bloqués par défaut, quitte à devoir dire à Firefox "tu te trompes, je sais ce que je fais" que l'inverse.

                Faut quand même être conscient que Javascript permet plein de merde. Utiliser ton processeur pour miner, par exemple. Sympa, non ?

                La censure ne donne même pas la possibilité de voir ce qui est censuré. C'est le principe même de la censure.

                Là on est très loin de la censure. Faut arrêter de galvauder le sens de mots et de diaboliser Firefox alors qu'il ne fait que de se et te protéger.

                "Quand certains râlent contre systemd, d'autres s'attaquent aux vrais problèmes." (merci Sinma !)

                • [^] # Re: Résolveur DNS menteur

                  Posté par . Évalué à 5 (+3/-0).

                  Dans le navigateur, cette « censure » n'en est pas une, et n'est pas un problème, car :
                  - c'est fait dans le navigateur, sur le poste de l'utilisateur (le réseau reste idiot et balance les paquets qu'on lui demande) ;
                  - c'est clairement indiqué que le site est bloqué et pourquoi ;
                  - comme tu le précises, c'est désactivable.

                  Ce n'est pas la même chose avec un DNS menteur. Sauf si tu te fais ton propre DNS menteur sur ta machine/ton réseau local…

              • [^] # Re: Résolveur DNS menteur

                Posté par (page perso) . Évalué à 2 (+0/-0).

                Sauf erreur, quand Quad9 censure, il renvoie NXDOMAIN (No Such Domain = ce domaine n'existe pas). Donc, pas de HTTP et de JSON :-)

                Je n'ai pas testé, il me faudrait un nom de domaine méchant. Quelqu'un a ça sous la main ?

                • [^] # Re: Résolveur DNS menteur

                  Posté par (page perso) . Évalué à 5 (+2/-0).

                  En cherchant dans les listes de domaines malveillants. Il y a www.hjaoopoa.top. Qui me renvoit bien un NXDOMAIN

                  $ dig @9.9.9.9  www.hjaoopoa.top
                  
                  ; <<>> DiG 9.10.3-P4-Debian <<>> @9.9.9.9 www.hjaoopoa.top
                  ; (1 server found)
                  ;; global options: +cmd
                  ;; Got answer:
                  ;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 14591
                  ;; flags: qr rd ad; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1
                  ;; WARNING: recursion requested but not available
                  
                  ;; OPT PSEUDOSECTION:
                  ; EDNS: version: 0, flags:; udp: 4096
                  ;; QUESTION SECTION:
                  ;www.hjaoopoa.top.              IN      A
                  
                  ;; Query time: 30 msec
                  ;; SERVER: 9.9.9.9#53(9.9.9.9)
                  ;; WHEN: Sat Nov 18 14:47:30 CET 2017
                  ;; MSG SIZE  rcvd: 45
                  

                  Alors que les serveurs du nom du domaine renvoit bien quelque chose:

                  $ dig @a.dnspod.com  www.hjaoopoa.top
                  
                  ; <<>> DiG 9.10.3-P4-Debian <<>> @a.dnspod.com www.hjaoopoa.top
                  ; (2 servers found)
                  ;; global options: +cmd
                  ;; Got answer:
                  ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 36620
                  ;; flags: qr aa rd; QUERY: 1, ANSWER: 1, AUTHORITY: 3, ADDITIONAL: 1
                  ;; WARNING: recursion requested but not available
                  
                  ;; OPT PSEUDOSECTION:
                  ; EDNS: version: 0, flags:; udp: 4096
                  ;; QUESTION SECTION:
                  ;www.hjaoopoa.top.              IN      A
                  
                  ;; ANSWER SECTION:
                  www.hjaoopoa.top.       600     IN      A       54.213.138.248
                  
                  ;; AUTHORITY SECTION:
                  hjaoopoa.top.           600     IN      NS      a.dnspod.com.
                  hjaoopoa.top.           600     IN      NS      b.dnspod.com.
                  hjaoopoa.top.           600     IN      NS      c.dnspod.com.
                  
                  ;; Query time: 375 msec
                  ;; SERVER: 112.90.141.215#53(112.90.141.215)
                  ;; WHEN: Sat Nov 18 14:50:24 CET 2017
                  ;; MSG SIZE  rcvd: 139
                  

                  « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

                • [^] # Re: Résolveur DNS menteur

                  Posté par . Évalué à 3 (+1/-0).

                  sourceforge.net

                  splash!

            • [^] # Re: Résolveur DNS menteur

              Posté par (page perso) . Évalué à 2 (+0/-0).

              Le pouvoir politique qui décide du bloquage et l'intervenant technique qui met en place le bloquage peuvent être différents. Dans ce cas, l'intervenant technique peut aussi avoir un peu de liberté dans la manière dont il implémente le bloquage. Avoir la possibilité d'utiliser un code d'erreur approprié serait donc le bienvenu plutôt que de faire ça de manière plus difficile à débugger.

              pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.

    • [^] # Re: Résolveur DNS menteur

      Posté par (page perso) . Évalué à 5 (+4/-1).

      Promotion, c'est un peu exagéré, je crois avoir bien indiqué les avantages et inconvénients.

      • [^] # Re: Résolveur DNS menteur

        Posté par (page perso) . Évalué à 2 (+0/-0).

        Partiellement oui. Dans la mesure où on aimerait mieux savoir quels sont les critères pour mentir ?
        Le même service indiquant clairement quand il ment me paraitrait sensiblement plus attractif. À moins que ce ne soit déjà le cas ?

      • [^] # Re: Résolveur DNS menteur

        Posté par (page perso) . Évalué à 9 (+7/-0).

        Non, je ne trouve pas que c’est exagéré. Tu ne publies que très peu d’articles de ton blog ici, mais tu choisis celui là. En plus de ça, tu postes des messages de promotion un peu partout (Twitter, Mastodon, ici) et on t’a connu moins sympa sur le fait que d’autres fournissent du DNS menteur (comme OpenDNS qui, dans ton journal est devenu un acteur parmi d’autres).

        Dans mon commentaire je ne parlais que du fait que ça soit un DNS menteur, mais quid de la vie privée ? À ce que je sache Google Public DNS n’a jamais explicitement indiqué qu’ils revendaient mes données, pourquoi est-ce qu’on devrait avoir confiance en Quad9 plus qu’en Google ?

        • [^] # Re: Résolveur DNS menteur

          Posté par (page perso) . Évalué à 4 (+2/-0).

          Parmi les différences avec Cisco OpenDNS et Google Public DNS :

          • Quad9 est géré par une organisation sans but lucratif, PCH,
          • organisation que je connais (c'est le point « spécial copinage »),
          • Quad9 s'engage à ne pas enregistrer les adresses IP des clients (oui, je sais, c'est impossible à vérifier, cf. le point précédent)
          • Quad9 a DNS-sur-TLS (ce qui est très important car, quand on utilise Google Public DNS ou bien les résolveurs DNS publics de FDN, le problème n'est pas uniquement la politique de Google ou de FDN, c'est aussi « est-ce que je parle vraiment à Google ou FDN ? » et « qui d'autre que Google ou FDN peut écouter le trafic ? » Il existe une bonne liste d'autres résolveurs TLS.
  • # Pourquoi utiliser un réseolveur DNS ?

    Posté par . Évalué à 5 (+4/-1).

    C'est une vraie question, j'ai jamais compris pourquoi en fait il faut absolument utiliser un service tiers. On pourrait pas héberger notre propre serveur ? Ca se traduirait par un trop fort traffic sur les DNS root ?

  • # Installer son resolveur

    Posté par . Évalué à 6 (+4/-0).

    apt-get install unbound
    echo "nameserver 127.0.0.1" > /etc/resolv.conf

    de rien.

    • [^] # Re: Installer son resolveur

      Posté par (page perso) . Évalué à 3 (+1/-0).

      Ça ne marche pas si on utilise des trucs comme Network Manager, qui réécrivent le /etc/resolv.conf. (Je ne parle même pas de systemd.)

      • [^] # Re: Installer son resolveur

        Posté par (page perso) . Évalué à 7 (+5/-0).

        Je ne sais pour Systemd, mais pour NetworkManager, on peut lui demander gentiment de ne pas toucher à /etc/resolv.conf en ajoutant :

        [main]
        dns=none
        

        dans son fichier de configuration (/etc/NetworkManager/NetworkManager.conf ou assimilé). Ça signifie en gros « Merci de ne pas toucher à ma config DNS, je m’en occupe moi-même. »

    • [^] # Re: Installer son resolveur

      Posté par . Évalué à 2 (+0/-0).

      Ça marche plutôt bien.
      Sauf en itinérance quand tu passes par un réseau d'entreprise qui ne permet pas le protocole DNS vers internet.
      Du coup j'ai opté pour unbound sur un petit serveur h24.

  • # Ars Technica

    Posté par (page perso) . Évalué à 3 (+1/-0).

    Un bon article en anglais, avec quelques détails techniques.

    • [^] # Re: Ars Technica

      Posté par (page perso) . Évalué à 2 (+0/-0).

      Extrait de l'article :

      The service, he says, will be "privacy sensitive," with no logging of the addresses making DNS requests—"we will keep only [rough] geolocation data," he said, for the purposes of tracking the spread of requests associated with particular malicious domains. "We're anonymizing the data, sacrificing on the side of privacy."

      Pour le début, ça me semble correct, par contre la dernière phrase me laisse un peu dubitatif. Est-ce que cette anonymation des données fonctionne aussi pour les taxis de New-York, et surtout quelles données tentent ils de dissimuler et pourquoi, peut-être en vue d'une diffusion ultérieure ?

      * Ils vendront Usenet^W les boites noires quand on aura fini de les remplir.

  • # autres DNS chiffrés autentifiés

    Posté par (page perso) . Évalué à 4 (+2/-0).

    tous (à l’exception de Cisco OpenDNS) sont non sécurisés

    C'est incorrect. Google Public DNS est disponible en mode DNS-over-HTTPS : https://developers.google.com/speed/public-dns/docs/dns-over-https
    Certes c'est pas standardisé dans une RFC et il peut y avoir d'autres raisons de préférer un autre resolver mais il n'est pas correct de dire que seuls Quad9 et Cicso OpenDNS permette de chiffrer/autentifier la résolution.

    (je travaille chez Google)

    pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.

  • # Cache local

    Posté par . Évalué à 1 (+1/-0).

    J'ai toujours eu un doute sur l'utilité de rajouter un cache DNS chez soit ou sur un petit réseau local.

    • Les applications genre navigateur internet ont déjà un système de "cache", une requête DNS n'est pas émise à chaque chargement d'un élément d'une page web depuis le même domaine.

    • Y'a déjà un cache "OS level" avec la glibc(nscd) ou systemd-resolved.

    • Pour être efficace (faible taux de cache-miss) un serveur à besoin de beaucoup d'utilisateurs, mon FAI, Quad9 ou Google n'ont pas ce problème, mais je suis incapable de lui en fournir.

    • [^] # Re: Cache local

      Posté par . Évalué à 1 (+1/-0).

      Et je rajoute qu'en cas de cache-miss un serveur DNS "public" est généralement placé sur un réseau rapide d'où il pourra faire les requêtes DNS nécessaires à la réponse rapidement. Moi je n'ai que ma petite connexion ADSL pour ça.

Envoyer un commentaire

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.