Chose promise, chose due. La fonction est en cours d’activation aux États-Unis. Le top départ a été donné hier soir, et le processus se poursuivra sur plusieurs semaines.
DoH permet pour rappel de chiffrer les données échangées entre l’appareil et le serveur DNS. Une opération permettant de limiter certains types d’attaques, comme les écoutes sur la connexion ou l’homme du milieu.
Pour Mozilla, cette activation est une simple question de bon sens : l’architecture DNS est l’une des plus anciennes briques d’Internet et n’a jamais été pensée pour relever les défis de sécurité du monde actuel.
Si l’utilisateur ne touche à rien, le trafic DNS est orienté vers Cloudflare, défini comme partenaire par défaut. Un autre est disponible : NextDNS. Tous deux ont signé une charte les engageant à respecter des consignes strictes édictées par Mozilla. On peut bien sûr choisir son propre serveur, ou couper tout simplement la fonction.
Le mouvement a toutefois ses détracteurs. D’abord parce qu’il oriente les échanges DNS vers un acteur unique par défaut, avec les risques de SPOF (single point of failure) que l’on peut imaginer. Ensuite parce que DoH peut provoquer des problèmes.
Il s’était attiré les foudres d’experts en sécurité, entreprises et représentants nationaux, notamment parce qu’il empêche les solutions de contrôle parental de fonctionner, peut provoquer la pagaille dans les réseaux professionnels, n’empêche pas vraiment les fournisseurs d’accès de traquer la navigation et… peut aider les criminels. Un point courant dès que l’on parle de chiffrement.
Mozilla avait en partie préparé le terrain en annonçant que DoH serait automatiquement désactivé en cas de détection d’une solution de contrôle parental ou dans une configuration d’entreprise.
Rien pour l’instant n’a été annoncé pour le reste du monde, mais tout le monde peut aller activer manuellement la fonction dans les paramètres, car le support de DoH est présent depuis l’année dernière.
Commentaires (30)
#1
Sauf que notre expert national ès DNS, Stéphane Bortzmeyer, a levé un drôle de lièvre, hier : il a révélé que les FAI (au moins aux États-Unis, donc ; mais les autres pourront en « bénéficier » aussi) avaient fait pression pour que Mozilla fasse en sorte que cette fonctionnalité DoH se désactive d’elle-même si… le domaine que Firefox va contacter pour vérifier que la fonctionnalité est bien active est déclaré par les résolveurs DNS des FAI comme n’existant pas (alors qu’il existe bien, en réalité). Bref, il suffirait que les FAI emploient des résolveurs menteurs réglés exprès pour bloquer l’accès à ce domaine de test pour que la fonctionnalité soit désactivée, et en tout cas rendue inopérante.
Vous le voyez venir, qu’ils vont tous le faire ? Après tout, pourquoi auraient-ils fait pression pour que Mozilla rende son système aussi vulnérable ?
#2
#3
Du coup c’est bien ou pas ?
#4
Comment détecteront-ils “une configuration d’entreprise” ? Parce que je vois le problème venir gros comme une maison avec les noms locaux, uniquement valides en interne… Va-t-il falloir le désactiver à la main chez chaque collaborateur ?
#5
Mais heu… chaque FAI a ses DNS et a ses petites modifications qui fait que certains domaines ne sont pas connus alors que techniquement cela devrait être le cas.
Soit par demande du gouvernement et des lois correspondantes : révisionnisme, scam et j’en passe.
Soit par intérêt mutuel pour économiser la BP : site de P2P etc.
Donc de la censure y’en a déjà.
#6
#7
Sauf que je ne suis pas le patron, donc ce sont bien mes collaborateurs, au sens “moderne” du terme
" />
#8
#9
#10
#11
Il n’y a pas besoin des FAI pour ça, Firefox fallback en DNS standard quand les requêtes DoH ne fonctionnent pas. Ça m’était arrivé par exemple quand je me suis planté dans ma config DoH avec Quad9: comme rien ne fonctionnait avec DoH, tout le traffic DNS passait par du DNS standard suivant la configuration de mon OS. J’ai mis un mois ou 2 à m’en rendre compte, vu que ça avait l’air de fonctionner.
#12
#13
#14
Ah si si, je me suis fait avoir, mince
" />
D’accord, ça me rassure alors, merci !
#15
#16
#17
Pour le SPOF, peut-être qu’un seul acteur c’est temporaire, et qu’ils en ajouteront plus tard ? (avec un par défaut et un choix dans les paramètres)
#18
Il existe déjà d’autres fournisseurs.
Après la sécurité reste partielle.
Il existe le ESNI sensé chiffrer le nom et l’adresse du serveur lors du handshake mais reste que l’IP du serveur visité par le client n’est pas systématiquement diluée par l’hébergeur…
C’est en revanche nettement plus difficile de rediriger le client vers une page dupliquée même si ce n’est pas explicitement l’objet du DoH.
#19
Ok merci pour tes prévisions.
" />
Bon ceci dit je suis sous Brave donc je risque pas de l’avoir de suite.
#20
Pour moi le SPOF est un problème majeur ici.
Déjà que FF ne va pas très bien, mais j’imagine parfaitement l’impact en cas de problème coudFlare.
“Ha ça marche pas avec Firefox ? Bah prend Chrome, Firefox c’est d’la merde.”
:( :(
#21
DoH permet pour rappel de chiffrer les données échangées entre l’appareil et le serveur DNS
Mozilla joue sa carte protecteur de la vie privée mais c’est un peu maladroit.
Si les FAI ont réussi leur lobbying pour pouvoir le désactiver, c’est pas cool.
Les FAI ont vraiment eu peur d’un navigateur qui a 5% de pdm ?
#22
#23
#24
#25
#26
Pour info le domaine use-application-dns.net qui sert à savoir si le DoH est utilisable est déjà bloqué sur le DNS d’Orange :
host use-application-dns.net
Host use-application-dns.net not found: 3(NXDOMAIN)
Après pour les intéressés par le DoH si vous configurez expressément Firefox pour utiliser DoH il devrait l’utiliser quel qu’en soit l’état de ce domaine.
#27
Google est neutre. Mais comme d’autres tout autant intercepté par des FAI (transparent proxy).
#28
Pour ceux que ça intéressent, on peut héberger un DoH soit même (faut « juste » du HTTPS) :https://github.com/NotMikeDEV/DoH
#29
Celui que tu contrôle :)
Tu perds un tout petit peu en perf (si tu es à 50ms près).
Et faire mentir un résolveur, quand on le contrôle, c’est intéressant : ça permet de bloquer la pub et les traqueurs à la racine (ohoh) et de servir tous le réseau local
#30
Exact.
C’est pareil avec les noms de domaine locaux genre .lan Quand la résolution DoH échoue ça passe par une requête DNS classique.