Le 22/03/2022 à 13h 58

darkbeast a dit:

je pense aussi

Je commente pour dire qu’il ne faudrait pas commenter.

Le 18/03/2022 à 14h 06

Amabaka a dit:

PS: Il y a peut etre des solutions techniques quand même. J’imagine que la redirection vers un autre nom de domaine pour afficher l’avertissement est possible au niveau DNS avec un simple CNAME. Et si on décide de passer l’avertissement, le serveur peut sauvegarder la décision pour mon adresse IP, et la fois d’après le DNS ne va pas rediriger. S’il y a un expert DNS dans le coin qui en sait plus …

Non, ça ne marchera pas, en tout cas pas en HTTPS. La vérification du certificat se fait, heureusement, en utilisant le nom original.

Le 18/03/2022 à 11h 12

marba a dit:

Le site en question est de base en https, c’est le dns qui redirige vers un site en http du ministère de l’intérieur.

Désolé, mais ce que vous écrivez ne veut rien dire. Si l’URL de départ (celui choisi par l’utilisateur), était https, la réponse DNS, quelle qu’elle soit, ne va pas le changer en http. (HTTPS protège, entre autres, contre les résolveurs menteurs.)

Le 18/03/2022 à 10h 29

marba a dit:

Les DNS menteurs sont déjà en place. Il y a quelques sites où les DNS redirigent vers un site en http affichant un avertissement du ministère de l’intérieur. Le navigateur ne bronche pas donc.

Si c’est du http, en effet. Mais, aujourd’hui où presque tout le monde est en https, si, ça bronche.

En revanche pour pouvoir rendre cet avertissement non bloquant, je ne sais pas comment ils peuvent faire oui… À moins d’encapsuler le site via les serveurs du ministère de l’intérieur…

Vous pouvez tester : https://interieur1.eu.org/ va timeouter (pas de HTTPS disponible, logique, il n’aurai pas de certificat à présenter) alors que http://interieur1.eu.org/ va marcher.

Le 18/03/2022 à 10h 19

eglyn a dit:

Ouais, du coup y a plein de truc par cœur à apprendre, qui sont finalement une perte de temps… Faudrait mathématiser la langue française, et supprimer toutes les exceptions

Tout le monde doit apprendre le Lojban ! https://www.bortzmeyer.org/what-is-lojban.html

Le 18/03/2022 à 09h 48

Les trois tweets d’Éric Bothorel ne mentionnent pas un résolveur DNS menteur, contrairement à l’article de NextInpact. Il en a parlé ailleurs, peut-être ?

Le 18/03/2022 à 09h 44

Soriatane a dit:

Ces codes d’erreur étendus existent déjà dans le DNS (RFC 8914 https://www.bortzmeyer.org/8914.html). Le problème est que le client DNS dans la machine de M. Michu n’en tient typiquement aucun compte.

Le 03/03/2022 à 13h 37

L’ICANN a, comme prévu, refusé de retirer .ru et les autres, notamment avec l’argument qu’elle n’avait aucune autorité pour supprimer un ccTLD, ceux-ci ne dépendant que de leur pays. https://www.icann.org/en/system/files/correspondence/marby-to-fedorov-02mar22-en.pdf

Le 03/03/2022 à 10h 59

carbier a dit:

C’est une demande issue de l’Ukraine pour couper la Russie du reste du monde sur Internet.

La demande ukrainienne (notez qu’il n’y a pas que le DNS dedans) : https://eump.org/media/2022/Goran-Marby.pdf

Le 03/03/2022 à 10h 57

Jarodd a dit:

Bortzmeyer, personne ne le connaît. Il faut demander à de vrais experts. Qu’en pensent BHL et Enthoven ?

Francis Lalanne et Booba ont déjà affirmé leur soutien au point de vue de Poutine. Qui suis-je pour passer après de tels experts ?

Le 03/03/2022 à 10h 08

BlackLightning a dit:

En admettant qu’ils (afnic ?) viennent à retirer les TLD russes, est-ce que ça ne pourrait pas également signifier la fin d’un internet assez centralisées pour le départ d’un nouvelle forme d’internet plus décentralisée et moins dépendantes des actions gouvernementales/guerres/politiques ?

Déjà, non, l’Afnic n’en a pas du tout le pouvoir, elle ne gère ni .ru, ni la racine. Son pouvoir se limite au .fr.

Ensuite, oui, peut-être mais je ne suis pas optimiste. Un scénario plus vraisemblable est celui d’un Internet partiellement fragmenté et encore plus difficile à déboguer qu’aujourd’hui.

Le 03/03/2022 à 10h 07

Inodemus a dit:

Oui, vraiment ça va devenir indispensable d’utiliser son propre résolveur en contact direct avec les serveurs racines, plutôt que de se casser le cul à devoir chercher régulièrement des résolveurs fiables.

Ou un résolveur public de confiance. https://www.bortzmeyer.org/doh-bortzmeyer-fr-policy.html

Le 03/03/2022 à 10h 06

Drepanocytose a dit:

Bon, même si Bortmeyer prend des précautions (“je ne suis pas neutre”, “je me place sur le plan de la technique”, etc.) et qu’effectivement il est raisonnable sur le TLD, je note quand même qu’il propose de faire de la censure du .ru par les resolveurs :

Sérieusement, Stéphane ?

J’ai dit que c’était possible, pas que c’était une bonne idée. (Peut-être faudrait-il le réécrire.)

Le 02/03/2022 à 17h 50

fofo9012 a dit:

Je ne crois pas, tous les navigateurs modernes ont activés DoH par défaut,

Hmm, non, pas en France, à ma connaissance, pour Firefox. Et pas Chrome non plus.

Le 28/02/2022 à 17h 36

Vilainkrauko a dit:

Ce sera un bloquage DNS ?

J’ai mon serveur DNS privé chez moi

Il ne faut pas être égoïste, et penser à M. Toutlemonde, qui a autant le droit de regarder du porno que vous, même s’il n’a pas de compétence DNS.

Le 28/02/2022 à 17h 08

the_frogkiller a dit:

Euh…. 99.99% des usagers ?

Moins que cela, quand même. Les différentes études donnent (selon le pays et selon l’étude) de 10 à 25 % des utilisateurs qui sont derrière un résolveur DNS public comme Google Public DNS. Mais c’est vrai que c’est minoritaire.

Le 26/01/2022 à 15h 55

Observations techniques sur le déploiement : https://framagit.org/-/snippets/6468

Le 17/01/2022 à 08h 38

SIaelrod a dit:

je suis donc forcé de faire “confiance” a un DNS (ouvertement reconnu certe) mais rien ne leur empêche de se mettre a tous filtré du jour au lendemain sans que personne ne voit rien pendant plusieurs semaines.

Et DNSSEC, alors ?

Le 16/01/2022 à 21h 23

SIaelrod a dit:

Je sais je trouve juste dommage qu’il ai pas un protocole sous les aisselles, en alpha ou bêta. Au lieu de dire qu’il n’ont rien prévu, créer des clone d’un serveur racine et un protocole alpha (avec un éventuel fallback) serait intéressant a voir (ainsi ceux d’entre nous intéressé pourront aider a le développé en remontant les bug / faire des PR).

Comme on a la QNAME minimisation https://www.bortzmeyer.org/9156.html (et quelques autres trucs comme les serveurs racine locaux et la synthèse de réponse avec les NSEC), la communication avec le serveur racine n’est franchement pas le maillon faible. L’IETF travaille sur le chiffrement des requêtes DNS vers les serveurs faisant autorité mais c’est bien plus important pour le TLD que pour la racine.

Le 16/01/2022 à 20h 32

SIaelrod a dit:

J’aurais largement préférer un truc du genre :

L’Europe investi pour des DNS Racine en Europe a faible latence, qui supporte les dernière tech de sécurité/dnssec et l’ipv6.

Il y a déjà plein de serveurs racines en Europe, et tous les serveurs racine gèrent DNSSEC et IPv6.

Contrairement a leur idée saugrenue, ca aurais permis d’avoir les premiers DNS racine qui supporte le chiffrement DOT/DOH/ODOH/DNSCRYPT.

Il n’existe pas de norme technique pour faire du chiffrement vers les serveurs faisant autorité (bien que l’IETF ait des projets). Et les opérateurs de serveur racine ont déjà dit qu’ils ne voulaient pas du chiffrement : https://root-servers.org/media/news/Statement_on_DNS_Encryption.pdf

Le 16/01/2022 à 20h 29

Delqvs a dit:

Y a-t-il un espoir que ce mouvement serve à se rapproprier un peu du pouvoir de l’ICANN et enfin boulverser l”internet à l’américaine” ?

Non, car ça n’a aucun rapport. L’ICANN ne contrôle pas les résolveurs, et n’a aucune autorité sur Google Public DNS ou les autres Quad-N.

Le 16/01/2022 à 20h 27

Twiz a dit:

Mouais, autant passer par les DNS de la FDN, non ?

Ils ne fonctionnent que sur UDP, donc zéro confidentialité en transit, et zéro authentification. Il serait trivial de les remplacer par des usurpateurs.

Le 14/01/2022 à 15h 11

carbier a dit:

Au secours nous vivons en dictature: l’UE veut fournir une alternative aux DNS privés qui par essence sont les plus respectueux.

Je suis bien certain que les gouvernements de l’UE sont tous démocratiques, ne sont jamais tentés par des comportements autoritaires, ne censurent pas SciHub ou autres, ne surveillent pas leur population (d’ailleurs, ils ne font jamais de lois étendant les possibilités de surveillance), et surtout n’utilisent jamais des prétextes (terrorisme, par exemple) pour étendre leur pouvoir. Mais, quand même, on peut se méfier ou bien c’est suspect d’avoir un doute ?

Et, sinon, la politique, contrairement à l’informatique, ce n’est pas binaire, il n’y a pas que Google et la Commission Européenne. On peut par exemple avoir son/ses propre(s) résolveurs.

Le 14/01/2022 à 12h 29

ragoutoutou a dit:

Effectivement, il faut assortir ce dispositif d’une couche de filtrage, genre reverse-proxy vers lequel toutes les requêtes seront routées après mensonge du DNS.

L’appel à propositions ne mentionne pas cette énorme usine à gaz qui serait nécessaire, avec ses problèmes de vie privée et de disponibilité.

Le 14/01/2022 à 10h 57

Soriatane a dit:

Sauf erreur il y a des moyens d’attaque utilisant un DNS corrompu.

Comme quasiment toute activité sur l’Internet commence par une requête DNS, qui contrôle le résolveur DNS contrôle toute votre activité. Sur le fonctionnement du DNS, les amateurs de vidéos peuvent regarder : https://www.afnic.fr/observatoire-ressources/actualites/lafnic-met-en-ligne-une-video-sur-les-coulisses-des-noms-de-domaine/

Le 14/01/2022 à 10h 55

« services de filtrage d’URL » Le terme figure en effet dans l’appel à propositions mais il est absurde puisqu’un résolveur DNS ne voit pas les URL, seulement les noms de domaines. C’est une des raisons pour lesquelles utiliser un résolveur DNS menteur pour la sécurité n’est pas une bonne idée. Si le site Web de la mairie de Champignac se fait p0wNer et que http://www.mairie-champignac/wp-quelquechose/malware.php distribue du logiciel malveillant, il n’y a aucun moyen, au niveau DNS, de bloquer seulement cet URL.

Le 14/01/2022 à 10h 47

ColinMaudry a dit:

Après, ce sera potentiellement le premier DNS à implémenter les blocages décidés en justice, mais comme ça se contourne si besoin…

Comment on contourne ? (Oui, on peut changer de résolveur mais, dans ce cas, à quoi sert DNS4EU ?)

Le 14/01/2022 à 10h 46

tpeg5stan a dit:

pourquoi ces critères ? C’est si courant que ça les cas de serveur DNS non disponibles dans certains pays […] Il me semble que ce sont des critères pour un hébergeur, pas pour un serveur DNS

Pour un résolveur DNS, la disponibilité est absolument cruciale. Sans résolveur DNS, c’est à peu près comme si on n’avait pas d’Internet. Une des raisons pour lesquelles des gens ont migré vers les résolveurs publics est justement la panne du résolveur de leur FAI. https://www.bortzmeyer.org/resolveur-dns-en-panne.html

Opennic, Cloudflare, Google, les opérateurs ont des DNS qui fonctionnent bien.

Opennic ? Avec les trois quarts des adresses IP qu’ils donnent qui ne répondent pas ?

Cloudflare et Google ont eu des pannes aussi. Néanmoins, avoir moins de pannes qu’eux ne sera pas facile (euphémisme).

Le 14/01/2022 à 10h 42

Drepanocytose a dit:

il faudra regarder en détail les garde fous qui seront mis en place pour circonscrire des velleités d’intervention politiques sur le DNS lui même.

On peut raisonnablement supposer qu’il n’y aura aucun garde-fou, l’appel à propositions dit au contraire explicitement qu’il faudra bloquer les noms illégaux (comme ceux pointant vers des sites LGBT en Hongrie).

Le 14/01/2022 à 10h 40

Freeben666 a dit:

Est-ce qu’il devra faire le café aussi ?

En effet, les exigences sont nombreuses et, même pour les 14 M€ donnés, cela ne sera pas évident.

Le 14/01/2022 à 10h 39

SebGF a dit:

Perso j’ai monté mon propre serveur DoH car à aucun moment je n’aurai confiance envers celui d’une des entreprises de la Big Tech.

C’est évidemment la meilleure solution. J’en profite pour faire de la pub pour le mien : https://doh.bortzmeyer.fr/policy

Le 14/01/2022 à 10h 38

(quote:1923777:127.0.0.1)
Un DNS avec filtré intégré géré par les institutions… vivement que ce soit obligatoire ! lol.

Pour l’instant, l’appel à propositions dit explicitement que l’accès à DNS4EU devra être « opt-in ». Dans le futur, on ne sait pas encore…

Le 14/01/2022 à 10h 37

UnContemplateur a dit:

C’est un appel à projet. C’est justement les boîtes comme NextDNS qui vont y répondre. Ils seront censés offrir une version gratuite très performante sur toute l’Europe. Bonne nouvelle pour le développement de ces alternatives aux géants bien établis.

L’appel à propositions est justement réservé aux entreprises européennes donc, a priori, NextDNS (ou OpenDNS, créé longtemps avant NextDNS) sont exclus.

Le 20/11/2021 à 13h 42

Zetny a dit:

Vraiment le tdl .ge n’inspire pas confiance même si derrière l’offre est clean.

Il parait que les vins géorgiens sont excellents, c’est peut-être la raison de leur choix ?

Le 20/09/2021 à 09h 38

Free avait deux transitaires depuis longtemps et en a abandonné un pendant le confinement. Remettre un deuxième transitaire n’est donc pas vraiment un progrès fabuleux.

Le 04/09/2021 à 09h 33

(quote:1893753:127.0.0.1)

Passer de IPv4 a IPv6 c’est pas simplement rajouter 4 octets aux adresses IP+firewall+routes.

En effet, il faut ajouter 12 octets :-)

Sérieusement, je n’ai pas dit qu’IPv6 est identique à IPv4 (si c’était le cas, il n’y aurait aucune raison de migrer), simplement que les concepts fondamentaux sont les mêmes.

Le 03/09/2021 à 14h 04

Il faut se forcer à oublier les concepts fondamentaux IPV4

Non, pas du tout. IPv6 est une nouvelle version d’IP, pas un nouveau protocole, et les concepts fondamentaux sont les mêmes (notamment le routage).

Le 30/08/2021 à 10h 07

« la lib C standard » Il n’y a pas de « libc standard » Le principe d’Unix, la modularité, est justement qu’on peut en avoir plusieurs. La GNU libc n’est pas « standard », elle est juste répandue sur les environnements non-embarqués.

Le 16/06/2021 à 19h 06

Twitter(“You say dust.
I say the remains of my enemies.”)

Le 08/06/2021 à 19h 32

Mouais, ça concerne surtout les gros sites Web commerciaux. La plupart des sites Web n’utilisent pas de CDN et s’en sortent très bien.

Le 06/05/2021 à 09h 15

Ben oui, c’est exact, et bien vu. J’ajoute que les gens qui croient qu’avec un VPS à 10 € par mois, ils vont avoir un service premium se font de sérieuses illusions.

Le 27/04/2021 à 11h 48

Rhebian a dit:

Tout une tranche en /8 à l’heure de la pénurie d’IPV4 ! C’est dingue…

Ah non, bien plus que cela. La première annonce était pour un seul préfixe /8 mais il y en a eu d’autres après.

Le 27/04/2021 à 09h 16

Ce n’est pas le Washington Post qui a « révélé ». Non seulement l’annonce BGP, comme toutes les annonces BGP, était publique et tout le monde pouvait la voir mais en prime le premier article qui a mis la question en évidence était celui de Doug Madory https://www.kentik.com/blog/the-mystery-of-as8003/

Le 11/04/2021 à 15h 03

C’est encore la faute des étrangers, si je comprends bien ?

Le 05/04/2021 à 10h 30

À la place du site X, les internautes seront détournés vers une page d’information du CSA

Il est important de noter que cela donnera au CSA l’adresse IP source du pornophile, ainsi que plein d’informations (User-Agent, Accept-Language, etc) qui peuvent servir à l’identifier.

Le 05/04/2021 à 10h 24

aldwyr a dit:

hormis sécurisé la transaction et assuré la confidentialité entre l’user et le serveur DNS, ça ne change rien au fait que le DNS menteur te mentira de façon plus sécurisé. ^^

Non. Quand on utilise DoH, c’est en général pour pouvoir parler à un autre résolveur, non-menteur. Faire du DoH vers le même résolveur qu’avant n’aurait effectivement pas un grand intérêt.

Le 05/04/2021 à 10h 22

OB a dit:

Pour moi le but serait vraiment qu’il existe une multitude de serveurs DNS faisant autorité,

Vous voulez dire de résolveurs ? (Sinon, je ne comprends pas.)

Le 05/04/2021 à 10h 19

guimoploup a dit:

Et si on tape l adresse ip a la olace du nom de domaine?

Vous avez essayé ? (Moi oui, et ça ne marche pas, comme aurait pu le prévoir toute personne qui connait bien le Web.)

Le 01/04/2021 à 07h 49

(quote:1864641:Stéphane Bortzmeyer)
Et le point médian dans Next Inpact, ça arrive quand ? https://framablog.org/2021/04/01/le-point-median-ma-tuee-framasoft-met-la-clef-sous-la-porte/

Même le Monde s’y met Le Monde

Le 01/04/2021 à 07h 48

Et le point médian dans Next Inpact, ça arrive quand ? https://framablog.org/2021/04/01/le-point-median-ma-tuee-framasoft-met-la-clef-sous-la-porte/