Journal Cloudflare annonce 1.1.1.1, le résolveur DNS orienté grand public et vie privé le plus rapide

Posté par . Licence CC by-sa.
17
2
avr.
2018

Le 1er avril, Cloudflare a lancé 1.1.1.1, un résolveur DNS orienté grand public et vie privé, censé être le plus rapide dans sa catégorie (mais pas sûr qu'il y ait grand monde dans la catégorie orientée vie privée…).

Note : résolveur est le franglais du « resolver », on parle aussi de serveur récursif ou de serveur de cache.

Tout est relativement clairement expliqué sur leur blog (en particulier les motivations et intentions) :
https://blog.cloudflare.com/announcing-1111/

Les instructions pour l'utiliser :
https://developers.cloudflare.com/1.1.1.1/setting-up-1.1.1.1/

En gros cela permet de limiter la fuite de données personnelles (les sites que vous consultez) en remplaçant le résolveur DNS de votre FAI. C'est une alternative au 8.8.8.8 de Google, car 1.1.1.1 est assez performant et… est un peu moins marqué Google.

Ce n'est pas encore la panacée car de toute façon le nom d'hôte est transmis en clair (SNI) et parce que cela semble casser le mécanisme d'authentification/autorisation des Wifi en libre accès (typiquement avec une page qui vous demande d'accepter les conditions générales). Mais c'est un pas dans la bonne direction.

  • # Un de plus

    Posté par (page perso) . Évalué à 7.

    Et aussi le 10.10.10.10. Il est temps de lancer 255.255.255.255.

    • [^] # Re: Un de plus

      Posté par . Évalué à 2.

      Ca ne s'appelle pas déjà à peu de choses près mDNSResponder/Avahi-daemon/systemd-resolved ? :-D

    • [^] # Re: Un de plus

      Posté par . Évalué à 5.

      Et aussi le 10.10.10.10.

      A ne pas confondre avec (le très fonctionnel) 010.010.010.010.
      (pour ceux qui ne comprendrait pas, je les invite à pinguer cette ip…)

      • [^] # Re: Un de plus

        Posté par . Évalué à 3.

        Merci pour cette astuce, je ne connaissais pas !
        Ça marche aussi avec ping 134744072

  • # vie privée, Cloudflare, blague ?

    Posté par (page perso) . Évalué à 10.

    Le 1er avril, Cloudfare a lancé 1.1.1.1, un résolveur DNS orienté grand public et vie privé […] En gros cela permet de limiter la fuite de données personnelles (les sites que vous consultez) en remplaçant le résolveur DNS de votre FAI.

    Le poisson d’avril c’est d’associer Cloudflare et vie privée ? Parce que Cloudflare, c’est un peu le passage obligé de tant de sites alors Google ou Cloudflare c’est du pareil au même.

    Si « vie privée » signifie ne pas utiliser le service de son fournisseur d’accès, alors utiliser le DNS 8.8.8.8 de Google c’est aussi de la vie privée ?

    Je partage une pensée en passant : aujourd’hui la priorité du citoyen c’est de se prémunir contre le FAI, contre l’état… Ne serait-ce que parce que cet état d’esprit semble aller de soi témoigne d’un vrai problème de société, le FAI étant le fournisseur qu’on a choisi et donc à qui on a décidé de faire confiance, l’état étant la structure sensée nous protéger etc. Dans les faits, je fais pareil, mais que je le fasse me dit que quelque chose est détraqué dans le système…

    ce commentaire est sous licence cc by 4 et précédentes

    • [^] # Re: vie privée, Cloudflare, blague ?

      Posté par . Évalué à 1.

      Oui c'est très risible quand on sait qu'il y a Quad9, les serveurs de la fédération FDN ou la solution du DNS autohébergé.

    • [^] # Re: vie privée, Cloudflare, blague ?

      Posté par . Évalué à 3.

      Ça te prendrait trop de temps de lire le liens avant de répondre ? Histoire de pouvoir répondre à ce qui est dis dans le lien plutôt que de tenter des lieux communs.

      Le patron de Cloudflare explique que leur business ne vient pas de là contrairement à Google. Il explique aussi que pour utiliser cette IP, ils ont dû avoir une dérogation de l'APNIC. Il explique aussi qu'ils ont discuté avec les éditeurs de navigateurs.

      Il y a aussi un paragraphe qui explique pourquoi est-ce qu'ils font ça.

      Il dit peut être des bêtises, mais alors il faudrait l'expliquer.

      • [^] # Re: vie privée, Cloudflare, blague ?

        Posté par . Évalué à 3.

        J'avoue que j'aurais été déçu si personne n'avait lancé de trolls/polémique à ce sujet (surtout que j'avais bien commencé par annoncer la date du 1er avril pour provoquer).

        Mais là le commentaire manquait un peu de vigueur pour amorcer un bon débat.

        Je renvoie vers les commentaires de Hacker News, qui se substitue malheureusement pour ma part de plus en plus à linuxfr pour avoir des commentaires intéressant (je ne jette pas trop la pierre car j'interviens très rarement):
        https://news.ycombinator.com/item?id=16727869

      • [^] # Re: vie privée, Cloudflare, blague ?

        Posté par (page perso) . Évalué à 3.

        Le patron de Cloudflare explique que leur business ne vient pas de là contrairement à Google.

        Et on devrait lui faire confiance ?

        Il explique aussi que pour utiliser cette IP, ils ont dû avoir une dérogation de l'APNIC. Il explique aussi qu'ils ont discuté avec les éditeurs de navigateurs.

        Quel rapport avec la vie privée ?

        • [^] # Re: vie privée, Cloudflare, blague ?

          Posté par . Évalué à -1.

          Le patron de Cloudflare explique que leur business ne vient pas de là contrairement à Google.

          Et on devrait lui faire confiance ?

          Je ne sais pas mais ce que je dis c'est que c'est là dessus qu'il faut argumenter. Justement arrêtez de sortir des phrases toutes faites conçues pour attaquer gratuitement tout ce qui est marqué « mauvais ». Le FLOSS est débile si c'est juste une idéologie manichéenne comme une autre. Développez un peu l'esprit critique c'est la base de la Liberté au sens le plus général possible.

    • [^] # Re: vie privée, Cloudflare, blague ?

      Posté par (page perso) . Évalué à 2.

      D'après les benchmarks, ce n'est pas qu'une question de vie privée, ils sont aussi globalement (parfois beaucoup) plus rapides que tous les autres pour répondre, et ce quelle que soit la position géographique sur la planète (Yandex ne répond bien qu'en Russie, et Google et Quad9 ne semble pas très bien répondre en Afrique ou dans certain coins d'Asie).

      • [^] # Re: vie privée, Cloudflare, blague ?

        Posté par (page perso) . Évalué à 4.

        Les benchmarks ne signifient pas grand chose tant que le DNS cloudflare est encore peu utilisé (leurs serveurs sont peu chargés). De toute façon, à cette vitesse, les différences ne sont pas perceptibles à cause de plein d'autres facteurs : latence du serveur que tu contactes, routage, hops, ton propre CPU, ta carte séseau, etc.

        "La liberté est à l'homme ce que les ailes sont à l'oiseau" Jean-Pierre Rosnay

        • [^] # Re: vie privée, Cloudflare, blague ?

          Posté par (page perso) . Évalué à 2.

          C'est pas faux.

        • [^] # Re: vie privée, Cloudflare, blague ?

          Posté par . Évalué à 10.

          Les benchmarks ne signifient pas grand chose tant que le DNS cloudflare est encore peu utilisé (leurs serveurs sont peu chargés).

          https://news.ycombinator.com/item?id=16727869

          I'd be surprised if increased load has a negative effect on 1.1.1.1's performance.

          We run a homogeneous architecture—that is, every machine in our fleet is capable of handling every type of request. The same machines that currently handle 10% of all HTTP requests on the internet, and handle authoritative DNS for our customers, and serve the DNS F root server, are now handling recursive DNS at 1.1.1.1. These machines are not sitting idle. Moreover, this means that all of these services are drawing from the same pool of resources, which is, obviously, enormous. This service will scale easily to any plausible level of demand.

          In fact, in this kind of architecture, a little-used service is actually likely to be penalized in terms of performance because it's spread so thin that it loses cache efficiency (for all kinds of caches—CPU cache, DNS cache, etc.). More load should actually make it faster, as long as there is capacity, and there is a lot of capacity.

        • [^] # Re: vie privée, Cloudflare, blague ?

          Posté par . Évalué à 6.

          leurs serveurs sont peu chargés

          Et ouais, les mecs qui frontent un tiers de l’internet Mondial et se mangent régulièrement des ddos à plus de 100gb/s vont pas réussir à faire monter un service comme le dns en charge.
          ca va, quoi…

          Linuxfr, le portail francais du logiciel libre et du neo nazisme.

  • # Questions naïves

    Posté par (page perso) . Évalué à 9.

    B'jour,
    quelques questions qui me viennent à l'esprit :

    Le plus rapide

    Avec une connexion ADSL à 10 Mbs, quel est le gain en expérience utilisateur de gagner quelques ms sur une réponse de serveur DNS (pour consultation web, téléchargement fichiers, …) ? En ce qui me concerne, je n'ai pas l'impression que c'est critique. Mais je ne demande qu'à apprendre. Est-ce plus significatif si mon débit augmente (un jour, peut-être …) ?

    Vie privée

    Je ne suis pas sûr de bien comprendre. Même si je n'utilise pas le DNS de mon FAI, celui-ci (a l'obligation légale de logger ?) (enregistrera) mes connexions (en tous cas l'URL de destination). Qu'est-ce que je lui cache en utilisant un autre serveur DNS ?

    DNS menteur

    Bon, ok, si je fais plus confiance à cloudflare qu'à (free) (orange) (bouygues) (whatelse), je considère que je ne suis pas victime d'un DNS menteur. Mais comment m'en assurer ? Et pourquoi ne pas privilégier alors un serveur DNS de FDN ?

    • [^] # Re: Questions naïves

      Posté par . Évalué à 2.

      Même si je n'utilise pas le DNS de mon FAI, celui-ci (a l'obligation légale de logger ?) (enregistrera) mes connexions (en tous cas l'URL de destination)

      Non, si tu utilises https ton FAI connaîtra au mieux le nom du serveur, mais certainement pas l'URL.

      • [^] # Re: Questions naïves

        Posté par . Évalué à 2.

        Même en n'utilisant pas https , je vois pas comment via le DNS le FAI pourrait connaitre autre chose que le nom du serveur.

    • [^] # Re: Questions naïves

      Posté par . Évalué à 2.

      Le plus rapide

      C'est sur de la latence que ça va jouer. C'est pas critique : 10ms lors du premier accès à un domaine.

      Ce que je trouve intéressant personnellement :

      1. Ils est clairement annoncé. Clouflare met son image dessus (plus que PHC pour Quad9).
      2. Ils utilisent cette IP en collaboration avec l'APNIC qui va continuer d'utiliser cette IP. Cette collaboration fait qu'il est plus contraignant de faire n'importe quoi avec sans que l'APNIC s'en aperçoivent.
      3. Ils vont mécaniquement avoir plus d'utilisateurs (que FDN) et donc avoir plus de paires d'yeux pour voir ce qu'ils font bien ou mal.

      Quand on parle de confiance pour un service AMHA soit on fait confiance au gestionnaire de service soit on fait confiance en ceux qui regardent se service. Pour ce qui est des DNS menteurs c'est très facile à vérifier (tu tente le lookup via un autre DNS), donc n'importe qui peut faire des vérifications. Pour le non logging (le fait que ce soit limité à 24h et jamais écris sur disque) là on a que la confiance pour nous…

      • [^] # Re: Questions naïves

        Posté par . Évalué à 2.

        Ils ont demandé un audit à KPMG pour répondre à cette problématique de confiance. Oui oui je sais, KPMG, Arthur Andersen, Enron toussa…

        Ce que je trouve particulièrement intéressant pour ma part c'est qu'ils ont fait les choses vraiment proprement (de la motivation au départ, le dialogue avec l'APNIC, les bonnes performances, l'audit sur les logs, la communication sur le sujet et jusqu'à la documentation en ligne pour utiliser leur service).
        On sent que cela n'a pas été fait par des amateurs.

        • [^] # Re: Questions naïves

          Posté par (page perso) . Évalué à 1.

          Ils ont demandé un audit à KPMG pour répondre à cette problématique de confiance. Oui oui je sais, KPMG, Arthur Andersen, Enron toussa…

          Oui, enfin, les cabinets d’audit, leur clients c’est les audités pas les utilisateurs du service.

          • [^] # Re: Questions naïves

            Posté par . Évalué à 2.

            Il sert à quoi ton commentaire à part enfoncer des portes ouvertes ?
            J'avais déjà donné un exemple concret (l'affaire Enron) qui illustre justement de manière concrète ce lieu commun.

    • [^] # Re: Questions naïves

      Posté par . Évalué à 2.

      Je ne suis pas sûr de bien comprendre. Même si je n'utilise pas le DNS de mon FAI, celui-ci (a l'obligation légale de logger ?) (enregistrera) mes connexions (en tous cas l'URL de destination).

      Non, ton FAI n’a aucune obligation légale de logger les sites et les pages que tu visites. Il doit uniquement enregistrer qu’elles sont les adresses IP qu’il t’a attribuées et à quelles dates.

      • [^] # Re: Questions naïves

        Posté par (page perso) . Évalué à 0. Dernière modification le 05/04/18 à 02:39.

        Non, ton FAI n’a aucune obligation légale de logger les sites et les pages que tu visites.

        Ce qui ne veut pas dire qu’ils ne le font pas, ou ne permettent pas à des tiers de le faire.

        • [^] # Re: Questions naïves

          Posté par . Évalué à 2.

          Il sert à quoi ton commentaire ?
          On te dit que tu n'as pas l'obligation légale de faire X et tu réponds que cela ne t'empêche pas de faire X.
          Euh…oui… et le rapport avec la choucroute ?

          En inversant :
          - Salut, je fais du vélo.
          - Tu sais, tu n'as pas l'obligation légale de faire du vélo.
          - … ?

  • # Petit souci quand même...

    Posté par (page perso) . Évalué à 2.

    De chez moi, avant hier, avec LaFibre(cTMr) by Orange(cTMr) :

    http://la.buvette.org/vrac/1.1.1.1.bad-certif.png

    Il y a quand même de quoi se poser des questions, mais après enquète dans les ateliers du Ternet, il semblerait que ce soit un problème reconnu, et en cours de correction…

    * Ils vendront Usenet^W les boites noires quand on aura fini de les remplir.

    • [^] # Re: Petit souci quand même...

      Posté par (page perso) . Évalué à 4.

      1.1.1.1 c'est utilisé par beaucoup de monde dans les exemple de configuration (au lieu d'utiliser les IP réservées pour ça). Du coup, ça se retrouve un peu partout dans des configurations. Il y a eu plusieurs FAI dans le monde qui ont eu des problèmes avec ça depuis l'annonce de Cloudflare.

      « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

  • # uBlock

    Posté par (page perso) . Évalué à -10.

    Si j’installe uBlock, c’est pas pour avoir de la pub sur DLFP.

    • [^] # Re: uBlock

      Posté par . Évalué à 3.

      Dans ce cas-là t'en as toute les semaines des journaux "publicitaires" sur des entreprises. Mais tu râles pas toutes les semaines. Non là c'est uniquement parce que t'es pas d'accord.

      • [^] # Re: uBlock

        Posté par (page perso) . Évalué à -2. Dernière modification le 06/04/18 à 03:11.

        Je suis désolé mais non, à moins de considérer les journaux sur TapTempo comme de la pub, il n’y en a pas tant que ça.

        Quand Bortzmeyer est venu avec Quad9, j’ai aussi dit ce que j’en pensais.

        Et si le ton est différent, c’est parce que d’un côté on a un expert dans son domaine qui fait un journal détaillé, de l’autre quelqu’un qui ne fait que reprendre la communication officielle.

        • [^] # Re: uBlock

          Posté par . Évalué à 3.

          Euh, y a régulièrement des gens qui font de la présentation de produits (en particulier sur du matériel comme ici)

          de l’autre quelqu’un qui ne fait que reprendre la communication officielle.

          Si c'est ça qui te dérange, considère que c'est un journal bookmark.

    • [^] # Re: uBlock

      Posté par . Évalué à 2.

      Tu pourrais définir « pub » ?

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.