Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

Android se prépare à supporter le DNS over TLS

Android se prépare à supporter le DNS over TLS

Le 24 octobre 2017 à 09h26

Une requête DNS permet d’associer un nom de domaine à une adresse IP (utile pour joindre le serveur de NXi lorsque vous saisissez nextinpact.com par exemple).

Traditionnellement, les requêtes circulent en clair sur les réseaux, permettant à tout un chacun de les intercepter (et de les modifier le cas échéant). Une solution existe pour limiter les risques en chiffrant les demandes : DNS over TLS (lire ce billet de Stéphane Bortzmeyer pour les détails techniques).

Comme le rapporte XDA Developers, cette fonctionnalité est en train d’être ajoutée à Android, c’est du moins ce que laissent penser certains commits sur AOSP (Android Open Source Project).

Bien évidemment, pour que la requête soit chiffrée il faut également que le serveur DNS supporte TLS, ce qui n’est pas toujours le cas.

Le 24 octobre 2017 à 09h26

Commentaires (12)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar



Une requête DNS permet entre autre d’associer un nom de domaine à une adresse IP





<img data-src=" />

votre avatar

Ce genre de possibilité est possible sous Windows ? (7 ?)

votre avatar
votre avatar







John Shaft a écrit :



Une requête DNS permet entre autreS d’associer un nom de domaine à une adresse IP







<img data-src=" />

<img data-src=" />


votre avatar







TheMyst a écrit :



Ce genre de possibilité est possible sous Windows ? (7 ?)







C’est totalement indépendant de la plateforme que tu utilises. Ca dépend du serveur.<img data-src=" />


votre avatar







Ricard a écrit :



C’est totalement indépendant de la plateforme que tu utilises. Ca dépend du serveur.<img data-src=" />







Oui et non. DNS sur TLS chiffre le trafic entre un client DNS (“stub resolver”, résolveur minimum en français) et un résolveur complet. Typiquement entre ton Windows/Mac/Linux et le résolveur de ton FAI.



Il faut donc que le stub resolver soit capable de chiffrer le trafic, ce qui n’est pas le cas à ma connaissance aujourd’hui. Il en existe un libre, Stubby, en cours de dév. Mais ceux intégrés avec les OS ne sont pas encore compatibles (j’en aurais entendu parler - j’espère <img data-src=" /> - sinon)



En attendant, la seule solution pour avoir du DNS sur TLS est d’installer un résolveur sur ta machine ou ton réseau local (Unbound ou Knot Resolver sont très bien), le configurer pour être un résolveur minimum et non des résolveurs complets et leur dire de se transmettre via le port 853 (dédié à DNS sur TLS) les requêtes qu’ils reçoivent à un résolveur capable de chiffrer le trafic.



J’espère ne pas être trop brouillon dans la réponse :)



Pub éhontée : j’ai fait une conférence DNS et Vie Privée à PSES (les slaïdes en PDF)


votre avatar







John Shaft a écrit :



Oui et non. DNS sur TLS chiffre le trafic entre un client DNS (“stub resolver”, résolveur minimum en français) et un résolveur complet. Typiquement entre ton Windows/Mac/Linux et le résolveur de ton FAI.



Il faut donc que le stub resolver soit capable de chiffrer le trafic, ce qui n’est pas le cas à ma connaissance aujourd’hui. Il en existe un libre, Stubby, en cours de dév. Mais ceux intégrés avec les OS ne sont pas encore compatibles (j’en aurais entendu parler - j’espère <img data-src=" /> - sinon)



En attendant, la seule solution pour avoir du DNS sur TLS est d’installer un résolveur sur ta machine ou ton réseau local (Unbound ou Knot Resolver sont très bien), le configurer pour être un résolveur minimum et non des résolveurs complets et leur dire de se transmettre via le port 853 (dédié à DNS sur TLS) les requêtes qu’ils reçoivent à un résolveur capable de chiffrer le trafic.



J’espère ne pas être trop brouillon dans la réponse :)



Pub éhontée : j’ai fait une conférence DNS et Vie Privée à PSES (les slaïdes en PDF)







Ben oui. Mais ça ne contredit pas ce que j’ai dit.<img data-src=" />

La possibilité de la chose ne veut pas dire que c’est déjà implanté.<img data-src=" />

Je connaissais pas Stubby en tout cas. Perso j’utilise DNSCrypt avec Unbound, je me suis pas (encore) penché sur DNS Over TLS.


votre avatar







Ricard a écrit :



Ben oui. Mais ça ne contredit pas ce que j’ai dit.<img data-src=" />







Je faisais double réponse avec la question sous Windows :)


votre avatar







John Shaft a écrit :



Pub éhontée : j’ai fait une conférence DNS et Vie Privée à PSES (les slaïdes en PDF)







oups le lien



Refused to apply inline style because it violates the following Content Security Policy directive: “style-src ‘self’”. Either the ‘unsafe-inline’ keyword, a hash (‘sha256-1kQs8h/ra9YlH+s6eZbKdSD/cn6Ljcz2Rv60pJnk/eY=’), or a nonce (‘nonce-…’) is required to enable inline execution.



Refused to load plugin data from &#39https://www.shaftinc.fr/misc/DNS-vie-privee-pses-maj.pdf’ because it violates the following Content Security Policy directive: “default-src ‘none’”. Note that ‘object-src’ was not explicitly set, so ‘default-src’ is used as a fallback.



C’est chiant le Content Security Policy directive <img data-src=" />



Ceci dit, c’est quand même bien que ça bouge sur ce point, car des attaque sur les flux DNS doit y en avoir en veux tu en voilà <img data-src=" />


votre avatar







boogieplayer a écrit :



C’est chiant le Content Security Policy directive <img data-src=" />







Wow Oo



C’est quel navigateur qui te bloque comme ça ? FF et Chrome ne n’embête pas (et pas d’alertes particulières dans la console de FF)



EDIT : Ah si ça bloque dans Chrome. :/



Je corrige ça dans la soirée. wget est ton ami :)


votre avatar







John Shaft a écrit :



Wow Oo



C’est quel navigateur qui te bloque comme ça ? FF et Chrome ne n’embête pas (et pas d’alertes particulières dans la console de FF)



EDIT : Ah si ça bloque dans Chrome. :/



Je corrige ça dans la soirée. wget est ton ami :)







Je me galère aussi avec les sites de mes clients avec le CSP <img data-src=" />



Je l’ai récup avec wget, je commencer à le lire, c’est pas mal pour faire des confs, je vais l’utiliser dans le respect des CC. La prochaines fois que tu fais un truc dans la région parisienne, envoi moi un MP qu’on se croise <img data-src=" />


votre avatar







boogieplayer a écrit :



<img data-src=" />







Je note :)


Android se prépare à supporter le DNS over TLS

Fermer