1.1.1.1 : Cloudflare annonce son résolveur DNS rapide, sécurisé et respectueux de la vie privée
Cloudflare renforce sa toile
Voici un nouveau venu dans le petit monde des résolveurs DNS : après le 9.9.9.9 de Quad9, voici le 1.1.1.1 de Cloudflare. Cette fois encore, le respect de la vie privée est placé au centre des préoccupations, tout comme la rapidité ou la sécurité.
La question du résolveur DNS agite régulièrement le Net. Il s'agit, pour faire simple, du dispositif qui permet d'associer une adresse internet (URL) à l'IP d'un serveur. Comme nous l'évoquions en novembre dernier, à l'occasion de la mise en ligne de Quad9, il s'agit d'un élément d'importance mais souvent sous-estimé par les utilisateurs.
Par défaut, vous utilisez celui de votre opérateur à travers votre box ou votre mobile. Préconfiguré, il envoie l'ensemble des requêtes nécessaires à votre navigation, mais est parfois obligé de donner une fausse réponse. C'est ce qui est utilisé en cas de blocage d'un site, pour la fameuse « main rouge » en France, devenue un point d'exclamation.
On parle alors de DNS menteur. Si les autorités disent toujours avoir de bonnes raisons pour mettre en place de tels blocages, ces dispositifs existent également dans de nombreux pays pour mettre en œuvre la censure du Net. Ainsi, depuis des années il existe des initiatives autour de résolveurs DNS accessibles à tous, sans aucune modification.
Une nouvelle vient d'arriver : 1.1.1.1 de Cloudflare. Mais quels sont ses avantages et ses différences ?
Des alternatives de plus en plus nombreuses
Bien entendu, il y a ceux de Google, les fameux 8.8.8.8 et 8.8.4.4, utilisés par défaut au sein des routeurs maisons (voir notre analyse). Même si la société se défend d'abus, conformément à ses engagements en termes de vie privée, certains préfèrent passer leur chemin pour ne pas dépendre toujours plus du géant américain.
Autre solution « historique », OpenDNS suscite aussi parfois de la méfiance. La société a néanmoins cessé son activité publicitaire en 2014 et appartient à Cisco depuis 2015.
Autre alternative assez connue et populaire auprès d'une population très technophile en France : FDN. Il s'agit d'un fournisseur d'accès à internet associatif, militant pour les libertés publiques à travers le groupement FFDN, les exégètes amateurs ou même RSF. Il fournit gratuitement des résolveurs DNS publics en IPv4 ou IPv6 que chacun peut utiliser et se finance uniquement à travers ses abonnements, adhésions et d'autres services payants.
Comme l'a rappelé début 2017 Stéphane Bortzmeyer, spécialiste du sujet, « le lien entre vous et le résolveur public est long et non sécurisé. Même si vous avez une confiance aveugle dans le résolveur public et ceux qui le gèrent, sur le trajet, des tas de choses peuvent aller mal. D'abord, le trafic peut être écouté trivialement [...], le trafic DNS est très bavard (trop), circule en clair, passe par des réseaux supplémentaires (en plus du trafic « normal »), et peut donc poser des problèmes de vie privée. Avec un résolveur DNS habituel, le problème est limité car le résolveur est proche de vous, limitant le nombre de gens qui peuvent écouter. Avec un résolveur public, le nombre d'écoutants potentiels augmente ».
Quad9 avait ainsi travaillé sur une solution exploitant DNSSEC et l'IPv6, en plus de fournir deux services : l'un avec une liste de blocage pour éviter tout malware et un autre sans aucun blocage du genre (mais aussi sans DNSSEC). Une solution attirante et financée par une organisation à but non lucratif :
- 9.9.9.9 ou 2620:fe::fe - Blocklist, DNSSEC, No EDNS Client-Subnet
- 9.9.9.10 ou 2620:fe::10 - No blocklist, no DNSSEC, send EDNS Client-Subnet
1.1.1.1 : quand Cloudflare entre dans la danse
Ce premier avril (4/1 en anglais), le géant de la protection anti-DDoS faisait à son tour une annonce : il met à disposition de tous son propre résolveur DNS, accessible depuis l'IP 1.1.1.1 récupérée auprès de l'APNIC, qui a décidé de soutenir le projet. En réalité, ce sont quatre adresses qui peuvent être utilisées :
- 1.1.1.1 ou 2606:4700:4700::1111
- 1.0.0.1 ou 2606:4700:4700::1001
Ce n'était ainsi pas une blague, le discours et les choix techniques autour de cette solution présentée comme la plus rapide du moment étant relativement détaillés.
Pour améliorer ses performances, l'équipe a opté pour des dispositifs comme le DNS aggressive negative caching (RFC8198). Mais il ne faut pas oublier que Cloudflare est également utilisé par de très nombreux sites (dont Next INpact pour le moment) afin de leur éviter de nombreuses attaques et faire office de CDN, entre autres services.
C'est notamment là que l'on peut commencer à voir un problème dans l'utilisation d'un résolveur DNS Cloudflare : la question de la centralisation. En effet, la société est déjà responsable de l'accès à de nombreux sites, et pourrait alors être en charge des requêtes des utilisateurs. En cas d'attaque ou de problème avec l'infrastructure, le problème en sera d'autant plus important, Cloudflare constituant un SPOF (Single Point of Failure) de plus en plus important.
Ceux qui critiquent l'utilisation des outils de la société par un nombre croissant de sites ne vont donc sans doute pas voir cette initiative d'un bon œil, même si elle a l'intérêt d'exister. D'autant qu'elle est assez attractive.
Des engagements sur le respect de la vie privée
Bien entendu, en pleine tempête Cambridge Analytica, la question du respect des données personnelles et de la vie privée est largement mise en avant. Le service utilise notamment la DNS Query Name Minimisation (RFC7816), qui consiste à réduire au maximum les informations utilisées. Le tout repose sur la solution logicielle Knot.
« Ce que beaucoup d'internautes ne réalisent pas, c'est que même si vous visitez un site de manière chiffrée — avec le cadenas vert dans votre navigateur — cela n'empêche pas votre résolveur DNS de connaître l'identité des sites que vous visitez. Cela signifie que par défaut, votre FAI, votre opérateur mobile, mais aussi les réseaux Wi-Fi auxquels vous vous connectez connaissent chaque site sur lequel vous allez », indique la société.
La question de la censure mais aussi de la sécurité permise par les alternatives proposées sont aussi évoquées comme un point de départ au projet, qui veut proposer une meilleure solution.
« Notre business n'a jamais été construit autour du pistage des utilisateurs ou de la vente de publicité. Nous ne voyons pas les données personnelles comme un bien à vendre, mais comme un bien toxique. [...] Nous nous engageons à ne jamais inscrire l'adresse IP à l'origine de la requête et à supprimer toutes les données au bout de 24 heures [...] KPMG auditera notre code et nos pratiques de manière annuelle, et publiera un rapport confirmant que nous respectons nos engagements », précise Cloudflare qui dit ne pas conserver ces informations plus longtemps, et seulement à des fins de debug.
Sécurité, confiance et dépendance
L'autre point qui fâche en général, lorsqu'il s'agit de résolveur DNS, est le fait que les requêtes ne sont pas envoyées de manière chiffrée dans une bonne partie des cas. « Ce protocole a 35 ans et il montre ses limites. Il n'a jamais été pensé en ayant la sécurité et le respect de la vie privée en tête » tance Cloudflare.
La société indique que son résolveur 1.1.1.1 utilise une validation DNSSEC lorsque cela est possible, mais supporte également DNS-over-TLS et DNS-over-HTTPS (expérimental). Deux standards qui permettent de pallier ce problème.
Au final, la solution apparait donc comme complète et plutôt bien pensée. Elle pose néanmoins l'éternelle question de la confiance en des acteurs tiers pour un élément aussi sensible que les requêtes DNS. On regrettera ainsi qu'il ne soit pas toujours très simple de disposer d'un petit résolveur local pour assurer un cache.
Cela montre bien l'importance de faire évoluer les standards et les solutions logicielles dans les années qui viennent, notamment concernant les DNS. Cloudflare semble mettre toutes les chances de son côté et avoir les moyens de ses ambitions. Mais c'est ici la question de la centralisation qui posera surtout problème.
Ainsi, si la naissance de 1.1.1.1 et ses avantages sont à saluer, il faut espérer que d'autres suivent ce même chemin et que l'utilisateur puisse avoir le choix afin d'assurer une véritable diversité, et éviter un drame en cas de problème. Une décentralisation qui est, après tout, l'une des valeurs fondamentales d'Internet tel qu'il a été pensé et tel qu'il est encore construit aujourd'hui... à quelques plateformes près.
Commentaires (82)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 03/04/2018 à 07h59
Mmmh sympa, ça va prendre des années à se régler complètement alors…
Le 03/04/2018 à 08h01
« C’est vrai que le protocole aurait besoin d’un bon coup de dépoussiérage » Ça fait juste quatre ans que le projet “DNS privacy” à l’IETF a commencé et Cloudflare met en œuvre au moins deux de ses RFC. Mais on accepte des volontaires :-) Ce n’est pas parce que les médias ne s’en étaient pas aperçus que rien n’était fait.
Pour la box déjà toute prête, avec résolveur DNS, il en existe plusieurs, comme la Turris Omnia.
Le 03/04/2018 à 08h01
Attention sur OpenNIC Project, j’ai eu plusieurs fois des pannes au fil du temps (au bout de quelques mois par exemple), et à chaque fois il fallait piocher une autre IP dans leur liste pour régler.
Finalement, j’ai fini par arrêter d’utiliser ça…
Le 03/04/2018 à 08h01
Quel sont les meilleures DNS pour vous?
Le 03/04/2018 à 08h02
Et puis c’est une racine alternative (donc ils ajoutent des TLD bidons) et question vie privée, c’est zéro, le trafic étant en clair (à moins que vous ne fassiez partie de la minorité des utilisateurs d’OpenNIC ,qui ont réussi à déployer dnscrypt).
Le 03/04/2018 à 08h03
Le 03/04/2018 à 08h04
Le meilleur résolveur ? (“DNS” tout court ne veut pas dire grand’chose.) Le résolveur local, sur une machine que je contrôle.
Le 03/04/2018 à 08h07
Oui pardon ;)
Le 03/04/2018 à 08h09
Des engagements sur le respect de la vie privée
Et je m’engage à les croire sur parole car j’ai une absolue confiance dans les engagements des sociétés américaines.
Microsoft, Google, Facebook, Cloudflare: c’est l’engagement du respect de la vie privée.
Le 03/04/2018 à 08h11
Ah oui, j’ai raté ça sur leur site.
Ensuite, oui, openssl m’avait bien donné ça :)
Le 03/04/2018 à 08h16
le business model n’est pas le même.
je ne dis pas qu’il faut faire une confiance aveugle à CloudFlare, mais ils ne font pas du blé avec les données des gens.
Le 03/04/2018 à 08h21
Peut être que si ils sont autant % de trafic ou autant d’utilisateurs et que dans l’avenir ils sont des soucis financiers, qui te dis qu’ils le feront pas?
Le 03/04/2018 à 08h22
C’était pas une critique hein, mais un constat de la situation actuelle…
Et je ne suis pas assez compétent en réseau pour être volontaire ;)
Le 03/04/2018 à 08h26
ok mais ça tu peux l’appliquer à absolument n’importe qui… Encore une fois je dis pas que c’est faux, mais bon à un moment si tu fais pas tout tout seul va bien falloir faire confiance à quelqu’un. ^^
Le 03/04/2018 à 08h26
Quad9 est une très bonne alternative, et pour ceux qui veulent, il y’a OpenNIC
https://www.opennic.org/
Le 03/04/2018 à 08h29
Sous Windows, Unbound s’installe très bien (il est dispo sur le site) et très facilement (c’est ensuite un service qui se lance au démarrage). Le seul défaut est qu’il n’y a pas de système de mise à jours automatique et qu’il faut donc le faire à la main (et penser à le faire - environ une fois par trimestre)
Sous Mac, jamais testé, mais c’est dispo sous HomeBrew, donc ça demande là des efforts considérables pour l’utilisateur de base de macOS (et oui, je trolle :P)
Le 03/04/2018 à 11h26
Ceux de FDN ne sont pas souvent saturés ?
Cela reste une petite structure…
Le 03/04/2018 à 11h27
J’ai commencé à lister ici les opérateurs compatibles :
http://blogmotion.fr/internet/1-1-1-1-cloudflare-dns-1-0-0-1-17083
pour ceux chez qui 1.1.1.1 ne marche pas il faut utiliser 1.0.0.1
Le 03/04/2018 à 11h33
Je vais attendre que NXI sortent leur résolveur DNS avant de changer le mien.
Ça ne devrais plus tarder
Le 03/04/2018 à 11h38
Ah je comprend mieux pourquoi ca me disait 3ms de ping
" />
Bon 1.0.0.1 donne 15ms, pas mal du tout.
Du coup on va mettre 1.0.0.1 en DNS1 et 8.8.8.8 en second, on va voir ce que cela donne ;)
Le 03/04/2018 à 11h39
1.3.3.7 c’est déjà utilisé ou pas ?
" />
Le 03/04/2018 à 11h43
host 1.3.3.7
Host 7.3.3.1.in-addr.arpa. not found: 3(NXDOMAIN)
Fonce !
Le 03/04/2018 à 11h46
Ah malheureusement
" />:
inetnum: 1.3.0.0 - 1.3.255.255
netname: CHINANET-GD
descr: CHINANET Guangdong province network
descr: Data Communication Division
descr: China Telecom
Le 03/04/2018 à 11h51
En IPv6, l’adresse peut être uber-geek : 2001:db8:1337:1ee7:42:42:13:37
Le 03/04/2018 à 11h53
Ça n’a rien de surprenant, toutes les adresses IPV4 sont attribuées (ou presque) et on sait que les adresses en 1.x.x.X dépendent de l’APNIC( Asie Passific).
Le 03/04/2018 à 11h56
Si, c’est un problème récurrent chez eux (du moins sur le DNS “public”, ils me semble qu’il y’en a un autre pour les abonnés FDN). Même chose chez ARN ou LDN, les DNS sont souvent lents (voire ne répondent pas chez les lorrains).
OpenNIC change tous les 4 matins (j’ai eu le coup plusieurs fois, et à chaque fois j’ai mis un certains temps à comprendre que les 2 DNS OpenNIC que j’avais choisi étaient non accessibles).
Du coup, j’ai sauté sur Quad9 quand il est sorti, en mettant ARN en backup.
Actuellement, sur toutes mes machines, j’ai Quad9 en premier, Cloudfare ou ARN en second (ou troisième).
Le 03/04/2018 à 13h18
et la fusée à paulo !!!
Le 03/04/2018 à 13h54
Petit test d’un iPhone avec carte SIM Bouygues Télécom
J’ai
Ai-je manqué une étape ou est-ce que c’est Bouygues Télécom qui ne respecte pas la régulation sur l’Internet ouvert (dite net neutralité) ?
J’ai donc pris un second téléphone avec une carte SIM de Proximus et lancé le “Hotspot Wifi”. L’iPhone s’est connecté dessus. J’ai relancé le test et là miracle, je tombe sur les DNS de Cloudfare.
Donc ça confirme bien ce que nous savions, lecteurs NextInpactiens, que Bouygues Télécom ne respecte pas la net neutralité et qu’il serait temps que l’Arcep agisse !
Le 03/04/2018 à 15h56
Le 03/04/2018 à 15h58
c’est peut-être juste ton appli qui est pourrie. ^^
et je vois pas le rapport avec la neutralité du net.
plus généralement c’est pas le premier post que je vois qui incrimine un non respect de la neutralité du net sur un sujet qui n’a rien à voir.
visiblement “les gens” ne comprennent pas bien ce qu’est la neutralité du net.
Le 03/04/2018 à 16h16
Il soupçonne (peut-être à tort) une interception des requêtes DNS pour que ce soit les serveurs DNS de Bouygtel qui répondent. Dans ce cas, ce serait bien un problème de neutralité du Net.
Après une recherche rapide, il semble avoir raison.
Le 03/04/2018 à 16h20
Le 03/04/2018 à 16h23
Le 03/04/2018 à 16h28
Je ne sais pas trop pourquoi ils font ça, à part peut-être en IPv6 (sur Android ils utilisent DNS64 donc leur DNS retourne une IPv6 interne pour les sites IPv4, même si par ailleurs il y a Nat464Xlat qui permet toujours d’utiliser des IPv4 directement).
Le 03/04/2018 à 16h31
Pour info, depuis une connexion Free, un tracert vers 1.1.1.1 passe par CogentCo … je vous laisser deviner ce que ça donne en heure de pointe
" />
(spoiler : ça en fait le resolver le plus lent de tout ceux que je mesure avec un beau 64 ms de moyenne au lieu de 16 ms en temps normal)
En gros, si vous êtes chez Free, n’utilisez pas 1.1.1.1, préféré quelque chose genre quad9 et son 9.9.9.9 qui sont pas mal :)
Le 03/04/2018 à 16h58
CloudFlare est le mal incarné
on prépare une plainte contre eux avec des dommages sérieux ,
Leur cookies obligatoire qui vous suit partout
leur service d’abus pourri ,
le manque d’actions sur du contenu vraiment illicite , (site diffusant ou qui vende des information personnel )
SE cache sur un contrat illicite , disens n’être aucunement responsable du contenu car il ne sont pas hebergeur alors que si tu a été avisé et ne fait rien tu devient responsable
Admin de pcinpact il serais bon d’abandonné cloudflare
Le 03/04/2018 à 17h10
Quand je ne peux pas utiliser de resolver perso parce que c’est souvent compliqué à mettre en oeuvre je trouve (en tout cas pour moi), j’utilise pour l’instant 9.9.9.9 considéré par Stéphane Bortzmeyer comme pas trop mal sécurisé, voir son blog :http://www.bortzmeyer.org/quad9.html
quad9 est imparfait, mais me semble le plus proche du sain que l’on appelle de nos vœux pour les DNS
Le 03/04/2018 à 17h11
Le 03/04/2018 à 18h09
J’ai limite plus confiance en des DNS FR style Online ou OVH qu’en Cloudflare et autres services US…
" />
Le 03/04/2018 à 18h34
Le 03/04/2018 à 18h54
Un bon tuto pour installer un résolveur DNS sur son serveur dédié ou VPS avec Unbound : https://jesuisadmin.fr/installer-resolveur-dns-unbound/(bien penser à ouvrir le port 53 en UDP avec iptables et supprimer Bind9 s’il était installé).
J’en étais resté à la solution avec Bind9 que je n’avais jamais réussi à faire fonctionner et là avec Unbound cela a fonctionné tout de suite avec le fichier de conf de ce tuto.
Reste à voir comment mieux sécuriser ce résolveur et optimiser la configuration.
Le 04/04/2018 à 07h38
Wow j’étais pas du tout au courant de ça. c’est quoi ce bordel?
" />
c’est un putain de scandale!
Le 05/04/2018 à 12h14
AdGuard (qui filtre les pubs par VPN local) permet d’utiliser un DNS tiers + dnscrypt. C’est encore ce qu’il y a de plus efficace pour contourner les redirections de requêtes DNS illégales de certains opérateurs mobiles. Et ça donne une visibilité facile sur toutes les applis actives (attention, vertige garanti)
Le 05/04/2018 à 12h20
Je pense qu’il vaut mieux quitter au plus vite des opérateurs aussi peu respectueux. Taper au portefeuille, il n’y a que ça de vrai.
Sinon, sur le côté illégal, tu peux me citer l’article de loi violé ?
Le 05/04/2018 à 16h24
Le 05/04/2018 à 16h28
tablette DE Michel .. la base quoi
Le 05/04/2018 à 16h42
Le 03/04/2018 à 07h21
A noter que la Livebox 4 utilise cette adresse (1.1.1.1) en interne, bloquant par là même l’utilisation de ce DNS …
Le 03/04/2018 à 07h22
Bonjour,
J’ai des résulats un peu bizarres :
1.1.1.1 OK depuis connexion OVH, mais KO depuis connexion SFR Câble.
1.0.0.1 OK (Cloudflare aussi) en DNS depuis SFR Câble.
Même leur sitehttps://1.1.1.1 HS sur SFR Câble, mais OK sur OVH.
Et vous ?
Le 03/04/2018 à 07h22
A noter que sur DNS-sur-TLS et DNS-sur-HTTPS, CloudFlare ne fourni aucun tutorial pour utiliser ses techniques peu répandues (et non normalisé pour DNS-sur-HTTPS) et surtout ne fourni aucun moyen d’authentifier le serveur (même pas un condensat du certificat X.509 utilisé). Donc on peut si connecter via le port 853 ou 443, mais parle-t-on au bon serveur… mystère… En l’état donc, tout leur discours sur la vie privée relève au mieux du flan.
Sinon, détail bizarre, la taille max des paquets que leur machin peut envoyer est de 1536 octets contre les 4096 généralement recommandés dans la norme EDNS
Le 03/04/2018 à 07h23
Cloudflare est également utilisé par de très nombreux sites (dont Next INpact pour le moment)
Un changement en perspective ?
Le 03/04/2018 à 07h24
“Internet par Orange” : c’est une adresse routable publiquement depuis le début, ils n’ont pas à ce la réserver pour leur BiduleBox
Le 03/04/2018 à 07h25
Peut-être est-ce uniquement pour les particuliers ?
Je n’ai pas de Livebox V4 Pro sous la main, mais sur FTTH Orange avec Livebox Pro V3, le 1.1.1.1 est OK.
Le 03/04/2018 à 07h25
On y réfléchit, mais rien de plus à dire pour le moment ;)
Le 03/04/2018 à 07h30
C’est vrai que le protocole aurait besoin d’un bon coup de dépoussiérage.
" />
Le jour où cela sera fait, j’espère que certains penseront à proposer une (ou des) solution(s) simple(s) permettant la mise en place rapide d’un résolveur DNS chez soit (sur Raspberry, etc). Non pas que ce soit extrêmement compliqué actuellement. Même s’il y a Unbound, Bind, Pi-hole, etc, ça demande quand même pas mal de config et ce n’est donc pas forcément accessible à tout le monde (surtout selon ce que l’on ajoute au protocole de base)
Proposer des solutions clé en main en parallèle du protocole serait vraiment un gros plus. Surtout dans le contexte actuel où la vie privée et la réappropriation des données prend de plus en plus d’ampleur.
Le top serait de voir les box directement intégrer leur propre résolveur
Le 03/04/2018 à 07h33
Sous Debian, Unbound ne demande aucune config particulière. Sous les autres OS, il faut juste activer la QName Minimisation.
En clair, c’est accessible aux gens capables d’installer un logiciel et de changer les résolveurs de leur machine.
Le 03/04/2018 à 07h51
La Box DE Michel, et pas la Box à Michel, please… #fracturedeloeil
Le 03/04/2018 à 07h54
Tu m’a volé ma remarque
" />
Le 03/04/2018 à 07h56
Rien de bizarre, on sait depuis des années que le préfixe 1.1.1.0/24 est pourri, utilisé dans plein de documentations écrites par des incompétents, et mis dans plein de configurations par défaut faites par des zozos.https://labs.ripe.net/Members/gih/content-traffic-network-10008
Le 03/04/2018 à 07h58
Cloudflare permet d’authentifier le serveur en DNS-sur-TLS par “The certificate presented is for cloudflare-dns.com”
" />53 -showcerts
% openssl s_client -connect 1.1.1.1
CONNECTED(00000003)
depth=2 C = US, O = DigiCert Inc, OU = www.digicert.com, CN = DigiCert Global Root CA
verify return:1
depth=1 C = US, O = DigiCert Inc, CN = DigiCert ECC Secure Server CA
verify return:1
depth=0 C = US, ST = CA, L = San Francisco, O = “Cloudflare, Inc.”, CN = *.cloudflare-dns.com
verify return:1
—
RFC 8310, section 8.1
Le 03/04/2018 à 07h58
En cas d’attaque ou de problème avec l’infrastructure, le problème en sera d’autant plus important, Cloudflare constituant un SPOF (Single Point of Failure) de plus en plus important.
Compte tenu de la merde que j’ai eue avec eux récemment (Cloudflare : une fin d’après-midi plus une soirée entière sans rien grâce au fruit et son fail safe en biscuit), ça ne me fait pas envie…
Je pompe mes adresses de DNS sur Opennic pour le moment, et j’en suis plutôt content.
Le 03/04/2018 à 08h49
En quoi Quad9 est-il meilleur que Cloudflare ?
Le 03/04/2018 à 08h50
Et, de toute façon, c’est absurde de le faire sur la machine terminale, où ça peut être difficile (Network Manager, systemd-resolve) ou impossible (Android non rooté). Ça doit plutôt être fait dans un engin spécialisé, tout fait (Turris Omnia…) annoncé en DHCP.
Le 03/04/2018 à 08h53
comme le dit l’article pour éviter de mettre tous les oeufs dans le même panier. Cloudflare concentre déjà une bonne partie du traffic internet, inutile de centraliser encore plus le réseau.
de plus Quad9 gère aussi très bien DNSSEC, même si peu de clients le gèrent pour le moment.
Le 03/04/2018 à 08h54
En parlant de confiance, pourquoi faire davantage confiance dans cloudflare que dans les DNS de ton FAI ? Et question subsidiaire, si tu n’as pas confiance dans les DNS de ton FAI pourquoi tu restes chez ce FAI ?
Est-ce pour contourner les blocages DNS imposés par la justice de ton pays ? Et donc, n’as tu pas confiance dans la justice de ton pays ?
etc.
Le 03/04/2018 à 08h56
Sauf sur une machine nomade (pour laquelle il faut des plans de replis si les port 53 ou 853 sont bloqués). C’était d’ailleurs pour un ordinateur portable que j’avais testé la version Windows d’Unbound
Mais oui, à la maison un Raspberry Pi et un routeur bien configuré. Ou un Turris, pour les plus fortunés :)
Le 03/04/2018 à 09h00
Le 03/04/2018 à 09h01
Pourtant on dit bien “la bande à Basile”!
Le 03/04/2018 à 09h46
Le 03/04/2018 à 10h00
Chacun a ses raisons de vouloir contourner les DNS de son FAI (ou un autre). La plupart du temps c’est parce qu’ils mentent effrontément, ou bloquent.
Et on peut vouloir rester chez le FAI en question pour des raisons de coût, de qualité de réseau (autre que le DNS évidemment), de box particulièrement efficace, bref. A quoi servirait de jeter le bébé avec l’eau du bain si l’on peut modifier son DNS?
Le 03/04/2018 à 10h01
Le 03/04/2018 à 10h08
Ce que beaucoup d’internautes ne réalisent pas, c’est que même si vous visitez un site de manière chiffrée — avec le cadenas vert dans votre navigateur — cela n’empêche pas votre résolveur DNS de connaître l’identité des sites que vous visitez
Même avec le DNS chiffré, il reste le SNI, qui envoie le nom de domain en clair, pour permettre d’héberger plusieurs serveurs SSL sur la même IP.
Le support SSL gratuit de Cloudflare s’appuie d’ailleurs dessus, impossible de se connecter à www.nextinpact.com sans.
Le 03/04/2018 à 10h20
Le 03/04/2018 à 10h40
Le 03/04/2018 à 10h57
Le 03/04/2018 à 11h03
Sinon ceux de FDN sont parfait ne censure pas et ne log pas :)
Le 03/04/2018 à 11h13
Le 07/04/2018 à 11h13
Depuis ma connexion VDSL Free, le 1.1.1.1 et le 1.0.0.1 me donnent entre 17 et 18 ms de ping.
Le 07/04/2018 à 12h34
j’ai ceux de fdn en fibre optique depuis 3 ans.
" />
Aucun problème de lenteur et aucun logs…
Donc surement un soucis côté opérateur
Le 08/04/2018 à 06h05
c’est vrais qu’il vraiment rapide comment c’est financé ?
Le 09/04/2018 à 02h27
J’ai un problème avec leur DNS : impossibilité d’envoyer des MMS et certaines fonctionnalités comme Firefox Sync (envoyer la page ouverte au PC par exemple) ne fonctionnent plus non plus…
Le 09/04/2018 à 10h15
je confirme j’ai constater une réelle difference de rapidite et de stabilité sur mon pc a chier sous lubuntu
et chez moi ca marche avec numéricable et une co a 2.5mo/s en down et 1mo/s en up le tout en wifi sur un lenovo g50-45