Quad9 : un résolveur DNS ouvert qui veut vous protéger en respectant votre vie privée
9.9.9.9 is the new 8.8.8.8
L'importance des résolveurs DNS est méconnue, pourtant il s'agit d'une brique essentielle de l'accès à Internet. Outre ceux proposés par les FAI, il en existe chez Google ou encore FDN. Un petit nouveau vient de faire son apparition, Quad9, qui veut bloquer certaines attaques tout en respectant votre vie privée.
Lorsque vous cherchez à accéder à un site web, vous tapez son adresse (URL) dans la barre principale de votre navigateur. Mais voilà, pour établir la connexion, il faut que votre machine sache à quel serveur s'adresser à travers son adresse IP. Pour cela, il existe les résolveurs DNS.
Pour faire simple, il s'agit de gros annuaires qui visent à faire correspondre le nom de domaine d'un site à l'adresse IP d'un serveur qui sera chargé de vous envoyer le contenu de la page demandée. Cela passe par une requête DNS.
Les résolveurs DNS : des éléments peu connus, mais d'importance
Il s'agit donc d'un élément essentiel du fonctionnement d'Internet tel qu'on le connaît, et peut être à l'origine de nombreux problèmes. Il est notamment utilisé pour mettre en place le blocage de certains sites (on parle alors de DNS menteur), mais peut aussi altérer votre navigation lorsqu'un problème survient, comme nous l'avions vu l'année dernière.
Car par défaut, ce sont les serveurs DNS de votre fournisseur d'accès qui sont utilisés par votre smartphone ou la box qui vous est fournie, et donc par les appareils qui y sont connectés. Ils prennent la forme de deux adresse IP pour le serveur DNS primaire et le secondaire.
Parfois, certains s'arrogent le droit d'utiliser les leurs, c'est notamment le cas de Google Wifi qui passe par défaut par les serveurs DNS publics de Google, les fameux 8.8.8.8 / 8.8.4.4. Même si Google se défend de toute utilisation abusive, conformément à ses engagements en termes de vie privée, il n'apparait pas comme la meilleure idée de livrer de telles informations à un tiers qui en sait déjà probablement beaucoup sur vous et vit essentiellement de la publicité.
Il s'agit là d'un point d'importance, car celui qui voit passer toutes vos requêtes DNS peut en apprendre énormément sur vous. Il connait en effet tous les noms de domaine des sites que vous visitez, à quelle fréquence, à quelle heure, etc. De plus, toutes les requêtes DNS passent bien souvent en clair, sans chiffrement.
Quel résolveur DNS choisir ? Méfiez-vous des réponses
Dès qu'un problème d'ampleur concernant les DNS survient, on voit fleurir de nombreux guides sur le thème « quels serveurs DNS utiliser ? ». Dans le pire des cas, on voit comme conseil celui d'utiliser ceux de Google, parfois des alternatives comme OpenDNS sont évoquées, la société ayant cessé son activité publicitaire en 2014, elle appartient à Cisco depuis 2015. Vous pouvez également utiliser votre propre résolveur DNS.
Si vous optez pour un résolveur public, il y a une alternative qui est sans doute la plus intéressante à utiliser : FDN. Il s'agit d'un fournisseur d'accès à internet associatif, militant pour les libertés publiques à travers le groupement FFDN, les exégètes amateurs ou même RSF. Il fournit gratuitement des résolveurs DNS publics en IPv4 ou IPv6 que chacun peut utiliser et se finance uniquement à travers ses abonnements, adhésions et d'autres services payants.
Mais comme l'a rappelé en début d'année Stéphane Bortzmeyer, spécialiste du sujet, « le lien entre vous et le résolveur public est long et non sécurisé. Même si vous avez une confiance aveugle dans le résolveur public et ceux qui le gèrent, sur le trajet, des tas de choses peuvent aller mal. D'abord, le trafic peut être écouté trivialement [...], le trafic DNS est très bavard (trop), circule en clair, passe par des réseaux supplémentaires (en plus du trafic « normal »), et peut donc poser des problèmes de vie privée. Avec un résolveur DNS habituel, le problème est limité car le résolveur est proche de vous, limitant le nombre de gens qui peuvent écouter. Avec un résolveur public, le nombre d'écoutants potentiels augmente ».
Quad9 : une solution qui veut mieux protéger l'internaute
Récemment, un nouveau service a été lancé après une phase de bêta : Quad9. Il s'agit d'un résolveur DNS ouvert qui affiche quelques spécificités, géré par une organisation à but non lucratif qui propose un DNS menteur, mais dans « le bon sens du terme ». En effet, celui-ci bloque directement certains domaines qui sont liés à des botnets, des attaques par phishing et autres pratiques malicieuses.
19 sources sont utilisées pour identifier les domaines, dont X-Force d'IBM, partenaire du projet auprès de la Global Cyber Alliance, une organisation à but non lucratif qui travaille sur les questions de sécurité en ligne et notamment sur la mise en place simplifiée de DMARC pour l'authentification des emails.
On retrouve aussi Packet Clearing House qui est un autre organisme à but non lucratif qui est très impliqué dans la gestion de l'infrastructure DNS, notamment anycast. La liste des domaines bloqués n'est pas donnée, mais il est possible d'effectuer une recherche depuis le site du projet.
La promesse est donc celle d'une sécurité accrue, mais aussi d'un respect de la vie privée. Quad9 précise ainsi qu'elle ne stocke pas l'adresse IP sur un disque, uniquement dans des logs temporaires le temps de l'anonymiser pour que cela soit ensuite utilisé à des fins purement statistiques ou techniques (limiter les attaques notamment).
Les logs permanents ne contiendraient aucune information personnelle, mais seulement des données géographiques larges (ville/métro) là aussi à des fins de debug, d'analyse d'abus éventuels et de télémétrie notamment. Des statistiques publiques pourront d'ailleurs être diffusées sur base de ces informations.
Aucune de ces informations n'est croisée, partagée ou même revendue à des tiers, promet le projet.
Rapidité et sécurité au programme
Quad9 se veut aussi rapide, avec 70 zones géographiques déjà couvertes, principalement dans des IXP (points d'échange Internet). Un objectif de 160 est affiché pour 2018.
Le service se veut rassurant sur la question du blocage de domaines légitime et précise dans sa FAQ qu'il « utilise un algorithme permettant de s'assurer qu'un domaine légitime n'est pas bloqué par accident. Dans les rares cas où cela arrive, Quad9 travaille avec les utilisateurs pour rapidement le débloquer ».
On retrouve aussi des mentions du support de DNSSEC et de l'IPv6. Pour ceux qui voudraient un service « non-menteur » et sans le blocage des domaines, une alternative est proposée mais elle retire d'autres éléments de sécurité, dommage :
- 9.9.9.9 ou 2620:fe::fe - Blocklist, DNSSEC, No EDNS Client-Subnet
- 9.9.9.10 ou 2620:fe::10 - No blocklist, no DNSSEC, send EDNS Client-Subnet
Dans un billet de blog assez détaillé, Stéphane Bortzmeyer note un autre point qui n'est pas évoqué par Quad9 : le support de DNS sur TLS (RFC 7858), qui permet un chiffrement du transport des requêtes. Une fonctionnalité que l'on retrouve encore trop rarement, alors qu'elle est pourtant d'importance.
Comment utiliser Quad9 (ou un autre résolveur DNS) ?
Pour ceux qui veulent utiliser les DNS de Quad9 ou même d'autres que ceux de leur FAI, deux guides ont été mis en ligne par le service : l'un pour macOS, l'autre pour Windows. Vous pouvez également les modifier dans votre routeur.
Pour les autres systèmes, vous retrouverez en général les éléments nécessaires dans les paramètres de votre connexion Wi-Fi. DNS Override vous permet de faire la même chose avec votre connexion mobile sous iOS. Sur Android, plusieurs applications sont proposées, mais toutes ne sont pas maintenues et certaines sont payantes.
Commentaires (98)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 17/11/2017 à 13h46
Il est vrai que j’utilise le DNS Google pour l’instant, parce que j’ai eu des soucis avec celui de la FDN. Mais s’il y en a un qui ne pose pas de problème avec la vie privée je suis preneur. ;-)
Le 18/11/2017 à 16h04
En lisant cet article je me disais que ça serait pertinent de faire un article sur DNS Crypt
Le 18/11/2017 à 17h17
Pour moi ce n’est pas bon, le temps de réponses des serveurs est bien trop long comparé aux serveurs d’Orange ou ceux de FDN.
Dommage :(
Le 18/11/2017 à 18h33
Cela a-t-il un sens d’utiliser ce logiciel conjointement à un VPN ?
Le 18/11/2017 à 20h07
L’article parle de « de deux adresse IP pour le serveur DNS primaire et le secondaire ». À part la faute d’orthographe, il faut noter que « primaire » et « secondaire », dans le contexte du DNS, désigne toute autre chose (cela s’applique à des serveurs faisant autorité, pas à des résolveurs comme Quad9).
Le 18/11/2017 à 20h17
PCH est bien décrit dans cet article Wikipédia 
Wikipedia
Le 18/11/2017 à 20h18
OpenNIC est une racine alternative donc, personnellement, cela ne m’intéresse pas.
Le 18/11/2017 à 20h20
Si on se préoccupe de rapidité, il ne faut pas utiliser un résolveur public. Il sera toujours plus loin, donc plus lent, que le résolveur local.
Le 18/11/2017 à 20h23
On peut avoir des chiffres ? Depuis chez Free, j’obtiens 13 ms pour les résolveurs de Free, 17 pour ceux de Quad9 et 11 pour FDN. C’est donc du même ordre de grandeur, compte-tenu des très nombreuses incertitudes de ce genre de mesure.
Le 18/11/2017 à 20h38
Oui :)
Réponse de 9.9.9.9 : octets=32 temps=28 ms TTL=55
Réponse de 80.67.169.12 : octets=32 temps=14 ms TTL=52
Réponse de 8.8.8.8 : octets=32 temps=18 ms TTL=45
Je me suis vautré sur les DNS orange, ils ne répondent pas aux pings.
Le 18/11/2017 à 21h17
Chez moi sur 5 mesures (avec dig) :
Le 18/11/2017 à 23h40
Moi j’ai ça :
Le 19/11/2017 à 06h31
Cela doit dépendre des interconnexions, selon le FAI de chacun ;)
Le 19/11/2017 à 10h46
absolument !
Je suis en Espagne et j’ai 10ms sur google alors que tous les autres sont entre 28 et 40ms
Le 19/11/2017 à 11h53
C’est une blague ? Tester avec ping n’a pas de sens, cela ne teste que le réseau, pas la rapidité du serveur DNS.
Le 19/11/2017 à 11h54
Oui, sur un cache chaud, le résolveur local gagnera toujours, et de loin. Sur un cache froid, c’est moins évident. (Cf. ma remarque initiale sur l’extrême difficulté de faire des benchmarks sérieux.)
Le 19/11/2017 à 11h55
Certes mais sans indiquer si le cache était chaud ou pas, c’est difficile d’en tirer des conclusions.
Le 17/11/2017 à 18h28
Le 17/11/2017 à 18h46
Finalement j’ai mis les DNS de la FDN et en backup 8.8.4.4 (DNS 3)
Le 17/11/2017 à 18h57
OpenNIC pour avoir testé sur plusieurs années : ça peut tomber en panne plus ou moins souvent, ou alors pire un DNS qui est supprimé, car il y a un paquet d’IP dedans, et pas de garantie pour qu’une IP reste dans le temps…
Depuis, j’utilise VeriSign, c’est très performant, après en vie privée, ça risque d’être comme Google, je ne sais pas.
Quad9 à voir à l’usage, et quelles intentions réelles ils ont.
Le 17/11/2017 à 19h18
Perso, c’est serveur DNS en local. Sur mon Syno, paquet “DSN Server” à installer, configure la liste des IP autorisées, configurer l’IP du NAS comme DNS sur les PC, autoriser le port DNS (53) sur les pare-feux et ça roule.
Le 17/11/2017 à 19h33
Pareil mais avec des redirecteurs DNS configurés dedans, ainsi le Serveur DNS trouve plus vite (et fait moins de requêtes que s’il fallait passer par les root DNS etc…) et il met en cache pour le réseau local.
Le 17/11/2017 à 21h37
C’est plus sûr. :)
Le 17/11/2017 à 21h51
Le 17/11/2017 à 22h42
Le 18/11/2017 à 07h01
Le 18/11/2017 à 08h12
Put* de bord de mer on ne dit pas “la box à michel” mais “la box DE michel”. Bon sang ces fautes sont une plaies pour la langue française ! “. C’est quand même pas compliqué : “crotte à nez”, “fils à pu”…
Le 18/11/2017 à 09h09
Je pense que la faut est ici volontaire pour accentuer le côté “candide” du dessin.
" />
D’ailleurs dans ma tête, je l’ai lu avec les voix de Michel et Michel de faux-raccord, sur Allociné
Le 18/11/2017 à 12h20
Je fais confiance à Bortzmeyer, mais son blog est trop technique pour moi. En gros, il conseille ou pas ?
Le 18/11/2017 à 12h58
Il conseille je dirais, sinon il dirait l’inverse ;-)
Le 18/11/2017 à 13h52
Je pensais pas que cela serait aussi simple sur Ipad, mais comment on sait si ce sont bien ces dns qui sont utilisés et pas ceux de la box ?
Le 18/11/2017 à 14h14
Il conseille la version qui n’existe pas : celle qui ne fait pas Client Subnet et qui ne ment pas, tout en faisant DNSSEC.
" />
Le 18/11/2017 à 15h25
Perso j’utilise dns.watch, vous en pensez-quoi ?
Le 20/11/2017 à 12h20
Le 20/11/2017 à 12h24
Quand on a ton pseudo, c’est effectivement une blague de dire que l’on n’a pas d’autres outils que ping pour tester le temps de réponse d’un serveur DNS !
À moins que la blague soit ton pseudo.
Le 20/11/2017 à 13h03
Je te trouve un peu énervé mon petit fred, mais pour faire court j’ai ce pseudo depuis longtemps et j’en ai hérité suite à des travaux.
Donc je suis sous Windows et je n’ai d’autre outils pour test, voila.
Le 20/11/2017 à 13h18
Je ne suis pas énervé, juste amusé, mais on dirait que tu n’apprécies pas avoir été percé à jour sur la supercherie de ton pseudo., d’où ton accusation
Le 20/11/2017 à 15h46
Des organisations à buts lucratifs j’en connais plein sinon. 
" />
Le 20/11/2017 à 15h47
C’est déjà la merde pour brancher la box tv d’orange sur un switch, alors via une box tierce plutôt qu’une livebox, j’imagine même pas le casse-tête.
Le 20/11/2017 à 16h05
Le 20/11/2017 à 17h38
Merci pour le lien 0B, heureusement qu’il existe des outils Windows car sous Linux c’est vraiment trop compliqué pour moi ;)
[CODE]
9. 9. 9. 9 | Min | Avg | Max |Std.Dev|Reliab%| —————-+——-+——-+——-+——-+——-+ - Cached Name | 0,023 | 0,023 | 0,024 | 0,000 | 100,0 | - Uncached Name | 0,024 | 0,071 | 0,289 | 0,077 | 100,0 | - DotCom Lookup | 0,024 | 0,030 | 0,038 | 0,004 | 100,0 | —<——–>—+——-+——-+——-+——-+——-+ dns.quad9.net QUAD9-AS-1 - Quad9, US
8. 8. 8. 8 | Min | Avg | Max |Std.Dev|Reliab%| —————-+——-+——-+——-+——-+——-+ - Cached Name | 0,017 | 0,033 | 0,318 | 0,058 | 100,0 | - Uncached Name | 0,019 | 0,062 | 0,323 | 0,073 | 100,0 | - DotCom Lookup | 0,026 | 0,029 | 0,035 | 0,002 | 100,0 | —<——–>—+——-+——-+——-+——-+——-+ google-public-dns-a.google.com GOOGLE - Google LLC, US
192.168. 0. 1 | Min | Avg | Max |Std.Dev|Reliab%| —————-+——-+——-+——-+——-+——-+ + Cached Name | 0,000 | 0,000 | 0,001 | 0,000 | 100,0 | + Uncached Name | 0,017 | 0,070 | 0,284 | 0,070 | 100,0 | + DotCom Lookup | 0,024 | 0,028 | 0,037 | 0,004 | 100,0 | —<——–>—+——-+——-+——-+——-+——-+ livebox.home Local Network Nameserver
[/CODE]
Voila alors maintenant je peux dire objectivement que 9.9.9.9 c’est bien :)
Le 21/11/2017 à 12h24
Le 21/11/2017 à 18h42
Pour le “sans censure” c’est plutôt avec les DNS publics, mais autrement avec les DNS des FAI, à part certains sites illégaux, rien n’est censuré à ma connaissance, en tout cas pas en France pour le moment.
En ce qui concerne la bande passante, bien sûr je parle plutôt pour une entreprise avec des dizaines / centaines d’ordinateurs, ça soulage un peu quand même.
Enfin pour la vitesse du surf, c’est relatif bien sûr, mais un DNS local avec cache bien rempli répondra toujours plus vite que le DNS sur Internet, c’est normal.
Le 21/11/2017 à 23h26
Le 21/11/2017 à 23h30
Tu es sous Windows et tu as nslookup. A creuser.
" />
Le 22/11/2017 à 07h48
« à part certains sites illégaux, rien n’est censuré à ma connaissance, en tout cas pas en France pour le moment » Ah ben c’est pareil en Chine, à part ce qui est censuré, rien n’est censuré.
Le 22/11/2017 à 08h02
Le 22/11/2017 à 08h58
Le 23/11/2017 à 00h50
Qu’est ce qui rentre dans la catégorie en dehors des “cas d’usage” ?
Le 17/11/2017 à 13h56
Il s’agit d’un résolveur DNS ouvert qui affiche quelques spécificités, géré par une organisation à but lucratif
Quelle est cette organisation et comment se finance-t-elle ?
Le 17/11/2017 à 13h57
géré par une organisation à but lucratif qui propose un DNS menteur,
Il me semblait avoir lu l’inverse, que c’était une organisation à but non lucratif
Le 17/11/2017 à 13h58
Et changer ses DNS sur Android ? On ne peut pas sans rooter le mobile. Donc Google sait tout de vous
Le 17/11/2017 à 14h00
moui enfin c’est bien beau mais “viens chez moi chui clean” ne suffit pas m’voyez !
Le 17/11/2017 à 14h00
Le 17/11/2017 à 14h03
Le 17/11/2017 à 14h11
J’ai cherché une app au hasard, je tombelà dessus
Whilst it is fairly easy to adjust the DNS servers used by your device when using wifi, android offers no option to change the used DNS servers when using a mobile connection (2G/3G/4G etc.).This App creates a VPN connection locally (No data leaves your phone using this VPN connection) to use your configured DNS servers on both wifi and mobile networks without needing root permissions.Both Ipv4 and Ipv6 are usable, a feature which isn’t supported on many phones (Even Android doesn’t offer IPv6 DNS configuration in your wifi settings).
Le 17/11/2017 à 14h17
Non, tu peux les forcer il me semble. Que ce soit pour le Wifi sur android, ou pour tes cartes réseau sur PC d’ailleurs.
Le 17/11/2017 à 14h21
Le 17/11/2017 à 14h28
Je la trouve étrange. Cherche frostnerd.com sur internet et tu verras…
Comme dit plus haut, c’est le DHCP qui t’envoi le DNS.
Donc en réseau Télécom bas tu obtiens ce de l’opérateur et chez toi ton dhcp wifi tu le modifie.
Je pense en effet qu’il faudrait être root pour éviter une interception complète du flux réseaux.
Le 17/11/2017 à 14h40
Le 17/11/2017 à 14h51
Salut, jette un coup d’oeil à unboud dns
https://korben.info/installer-serveur-dns-unbound.html
Le 17/11/2017 à 15h01
Et aussi les serveurs d’ORSN : http://www.orsn.org/en/tech/pubdns/
Et pour les curieux, il existe Stubby, un client dns expérimental, pour utiliser DNS-over-TLS.
Le 17/11/2017 à 15h02
très bien unbound, plus facile à configurer et plus léger que bind que j’utilisais auparavant. Je l’utilise sur une Raspberry Pi 2 B qui me sert donc de serveur DNS et aussi de proxy web filtrant les pubs et les trackers (squid+squidguard).
Le 17/11/2017 à 15h09
dsn66, disponible sur F-Droid
Le 17/11/2017 à 15h16
C’est récent ton soucis avec FDN?
Je n’ai pas vu d’infos à ce sujet. :)
A la rigueur mettre FDN en premier et google en deux, comme ça google ne sert que de backup. :)
Le 23/11/2017 à 07h46
Avoir de multiples connexions NAT (remplissage de la table conntrack)
Utilisation dans un local technique non accessible facilement (pour rebooter quand ça se plante).
Gérer les problèmes de conflits d’IP (actuellement la box change toute seule d’IP LAN quand c’est le cas)
Monter des tunnels type ipip ou gre (qui supportent pas le NAT donc)
Avoir de l’IPv6 (tunnelisé , car orange le propose pas encore partout. Free le fait, mais la freebox crystal ne sachant pas déléguer de préfixes c’est inutilisables dès qu’il y a plusieurs sous-réseaux derrière).
Les usages ne manquent pas.
Mais je suis pas vindicatif : La livebox n’a _pas_ été conçue pour faire tout ça, elle a été conçue pour la famille moyenne de 4 personne ou la TPE , qui consultent essentiellement des sites web et upload de temps en temps (j’ai bossé un temps en sous-traitance dessus, c’était dans une autre vie…). Moyennant quoi, les coûts unitaires sont tirés vers le bas .
C’est de bonne guerre.
Il y a nombre de tuto pour s’en passer, le seul problème c’est que ces tutos sont créés par essais & erreurs, par manque d’informations (ie les histoires d’option DHCP), et que c’est pas stable dans le temps.
Le 17/11/2017 à 15h19
Il demande d’installer un vpn. En standard, ce n’est pas aussi simple que Windows pour changer le DNS
Le 17/11/2017 à 15h25
Non c’était il y a quelques années. Depuis je suis passé sur les DNS de G-o-o-g-l-e même si c’est mal, je préférais ça à ceux de mon FAI. Cela dit je vais réessayer ceux de la FDN sur une de mes bécanes et si ça passe bien je généraliserai à toutes mes machines. La seule chose qui me dérange est qu’ils sont sous juridiction française… :‘(
Le 17/11/2017 à 15h29
Malheureusement sur Android on ne peut forcer que les DNS ipv4. On ne peut pas forcer les DNS ipv6…
Le seul moyen de forcer les DNS ipv6 c’est de passer via un routeur wifi comparable dhcp6 et de pousser les DNS via le routeur…
(Pour contourner l’absence de loopback de ma livebox je suis obligé d’héberger un serveur DNS “menteur” pour que mes sites locaux soient accessible en local via leur url.
En activant l’ipv6 sur la livebox, Android passe tantôt par le DNS ipv6 tantôt par l’ipv4, du coup je suis obligé de désactiver l’ipv6 pour le moment)
Le 17/11/2017 à 15h33
En parlant de DNS, est ce que quelqu’un sait comment les changer sur le DHCP d’une Livebox 4 ?
Je déménage et là ou je vais seul orange propose du bon (vdsl 75M) contre adsl 8m pour les autres…
Donc pas le choix.
Mais là je me rend compte qu’on ne peut pas changer les DNS sur le DHCP d’orange (et qu’apparement il faut le laisser pour que la box tv fonctionne).
Ou alors installer un serveur dhcp (style sur le synology) mais avec un paramètre spécial pour que la livebox TV ait les DNS Orange.
Dommage je trouvais que cette livebox avait l’air plutot pas si mal et fiable par rapport aux anciennes, mais s’ils virent les fonctions de base…
Le 17/11/2017 à 15h38
Je m’en vais tester ça ce w-e
Le 17/11/2017 à 16h00
Ben oui on peux pas. Il faut les changer à la main sur chaque machine. Ou alors, se passer de la livebox… –> https://lafibre.info/remplacer-livebox/en-cours-remplacer-sa-livebox-par-un-rout…
Le 17/11/2017 à 16h17
Le 17/11/2017 à 16h20
Le 17/11/2017 à 16h22
Tu donnes toi même la solution, il faut rooter !
" />
Blague à part, je pense que c’est la même chose sur les autres mobiles, pas uniquement Android, les OS mobiles n’ont généralement pas la fonction pour mettre ce paramètre manuellement car ils estiment qu’il n’y a pas d’intérêt je pense.
Le 17/11/2017 à 16h22
Pareil, ça fonctionne chez Orange sur mon routeur Ubiquiti, j’ai été agréablement surpris d’ailleurs.
Le 17/11/2017 à 16h41
Sinon, quelqu’un à déjà testé quad9 concrètement ?
Pour ma part je suis toujours sous OpenDSN pour l’instant, Cisco ou pas, il répond a mes besoins. D’autres que j’ai testé balançaient pas mal d’erreurs ou n’étaient pas super rapide… Donc bon…
Le 17/11/2017 à 16h46
Pour ceux d’entre vous qui possèdent un serveur linux (fonctionne aussi avec un raspberry) je ne saurais assez vous conseillerhttps://pi-hole.net/, c’est magique :)
Le 17/11/2017 à 17h06
Le 17/11/2017 à 17h20
Bon j’utilisais unbound sur ma machine, et vu que ce dns utilise dnssec, je tente ma chance.
On va voir ce que ça va donner.
Le 17/11/2017 à 17h21
Amusant de voir que Big Blue est devenu un défenseur des libertés. Dans les 80s les hommes en bleues représentaient plutôt 1984 .
Sinon ils fonts quoi maintenant chez IBM ?
Merci pour ce Q9.
Le 17/11/2017 à 17h23
Le 19/11/2017 à 11h56
Le pays n’a guère d’importance, pour un service anycast, c’est l’AS qui compte, car c’est de lui que dépend la présence ou pas de peerings, et leur qualité.
Le 19/11/2017 à 12h11
Ils n’utilisent pas QNAME minimisation, dommage pour un service qui se préoccupe de la vie privée de ses clients.
Le 19/11/2017 à 13h52
Je sais bien que le pays ne compte pas
Je voulais simplement dire que je n’étais sur aucun de vos FAI à l’évidence .
Le 19/11/2017 à 14h09
Le 19/11/2017 à 15h53
Le 19/11/2017 à 16h26
@Stéphane Bortzmeyer: Les membres de la FFDN travaillent sur le support de DNS over TLS. Le serveur DNS public de la LDN le supporte déjà.
https://www.ffdn.org/wiki/doku.php?id=formations:dns#travaux_de_la_fede
Le 19/11/2017 à 21h14
Le 19/11/2017 à 21h28
Le 20/11/2017 à 08h38
Aucune mention de dnscrypt… c’est pourtant facile à utiliser et il n’y a pas plus efficace contre les petits curieux.
Le 20/11/2017 à 09h00
Ben là ils sont plutôt dans la sécurité en maintenant des blacklists de pishers, pas tellement dans la défense des libertés si j’ai bien lu.
Le 20/11/2017 à 09h03
Quad9 fait mieux, il utilise DNS-sur-TLS (RFC 7858) qui a l’avantage d’être une solution normalisée.
Le 20/11/2017 à 09h04
On n’a le “AD” que si le domaine est signé (ce qui n’est pas le cas de nextinpact.com hélas). Essayez avec afnic.fr, paypal.fr ou ietf.org.
Le 20/11/2017 à 09h49
M’en fou, il y a tellement de gens qui font cette faute (qui me fait saigner des oreilles) que même dans ce cas je ne supporte plus de la voir. Et quelqu’en soit la raison, selon moi, faire volontairement des fautes dans des communications est inacceptable.
Le 20/11/2017 à 10h37
Le 20/11/2017 à 10h57
Le 20/11/2017 à 12h09