Discussions et informations sur ce qui se passe dans le monde de l'informatique.
Répondre

DNS-over-HTTPS (DoH) dans Firefox

#1Messageil y a 3 mois


DNS-over-HTTPS (DoH) dans Firefox

#2Messageil y a 3 mois

bonjour,

"tout le monde" c'est peut être un peu fort, normalement c'est notre FAI et notre gouvernement ...

Cela va certainement dans le bon sens ; mais le DoH propose Cloudflare (ou autre) comme serveur donc : Cloudflare lui peut lire et il est assujetti à des lois donc un autre gouvernement va lui aussi savoir. Donc nos visites risquent juste d'êtres visibles pour moins de monde : les pirates / homme du milieu ... qui (je ne pense pas) n'ont pas d’intérêt pour ces données pour les particuliers (et il semble que ff a un dèjà un système anti homme-du-milieu)

EDIT
cloudflare est clair:
via le navigateur Firefox. Cloudflare ne collectera que les informations suivantes des utilisateurs de Firefox:
  • Horodatage
    Version IP (IPv4 vs IPv6)
    Adresse IP du résolveur + Port d'où provient la requête
    Protocole (TCP, UDP, TLS ou HTTPS)
    Nom de la requête
    Type de requête
    Classe de requête
    Query Rd bit set
    Query Do bit set
    Taille de la requête Requête EDNS
    Version EDNS
    Charge utile EDNS
    EDNS Nsid
    Type de réponse (normal, délai d'attente, bloqué)
    Code de réponse
    Taille de la réponse
    Nombre de réponses
    Temps de réponse en millisecondes
    Réponse mise en cache
    État de validation DNSSEC (sécurisé, non sécurisé, faux, indéterminé)
    Colo ID
    ID du serveur
---

ps: existe aussi DNS over TLS

DNS-over-HTTPS (DoH) dans Firefox

#3Messageil y a 3 mois

Je crois que Cloudflare fournit déjà des données dans le cadre d'une étude de l'APNIC sur l'utilisation des adresses Ipv4/IPv6 (je n'ai de liens sous la main).

DNS-over-HTTPS (DoH) dans Firefox

#4Messageil y a 3 mois

Ils disent ne stocker que 24h et ont un accord spécifique avec firefox, cela dit.

Il est aussi intéressant d'activer le chiffrement du SNI :

about:config
Puis mettre

network.security.esni.enabled
à true

Et tester : https://www.cloudflare.com/ssl/encrypted-sni/

Sinon, côté DoT je suis comme çà pour le moment :

~]$ cat /etc/systemd/resolved.conf
#  This file is part of systemd.
#
#  systemd is free software; you can redistribute it and/or modify it
#  under the terms of the GNU Lesser General Public License as published by
#  the Free Software Foundation; either version 2.1 of the License, or
#  (at your option) any later version.
#
# Entries in this file show the compile time defaults.
# You can change settings by editing this file.
# Defaults can be restored by simply deleting this file.
#
# See resolved.conf(5) for details

[Resolve]
#DNS=
FallbackDNS=1.1.1.1 9.9.9.10 8.8.8.8 2606:4700:4700::1111 2620:fe::10 2001:4860:4860::8888
Domains=~.
#LLMNR=yes
#MulticastDNS=yes
DNSSEC=allow-downgrade
DNSOverTLS=opportunistic
#Cache=yes
#DNSStubListener=yes
#ReadEtcHosts=yes

DNS-over-HTTPS (DoH) dans Firefox

#5Messageil y a 3 mois

Après modif à true, j'ai ça;

Image

cat /etc/systemd/resolved.conf
#  This file is part of systemd.
#
#  systemd is free software; you can redistribute it and/or modify it
#  under the terms of the GNU Lesser General Public License as published by
#  the Free Software Foundation; either version 2.1 of the License, or
#  (at your option) any later version.
#
# Entries in this file show the compile time defaults.
# You can change settings by editing this file.
# Defaults can be restored by simply deleting this file.
#
# See resolved.conf(5) for details

[Resolve]
#DNS=
#FallbackDNS=1.1.1.1 9.9.9.10 8.8.8.8 2606:4700:4700::1111 2620:fe::10 2001:4860:4860::8888
#Domains=
#LLMNR=yes
#MulticastDNS=yes
#DNSSEC=allow-downgrade
#DNSOverTLS=no
#Cache=yes
#DNSStubListener=yes
#ReadEtcHosts=yes
[marc@marc-pc ~]$ 
:saispas:

DNS-over-HTTPS (DoH) dans Firefox

#6Messageil y a 3 mois

Ces fonctionnalités sont dépendantes du DNS employé, si tu ne configures rien en particulier, c'est le DNS de ton FAI qui est utilisé. Le plus simple serait de configurer ta connexion avec les DNS Cloudflare directement dans Network Manager.

Clic droit sur ton icône Connexion réseau-->Modifier les connexions-->choisir sa connexion et cliquer sur le bouton de modification--> dans l'onglet Paramètres IPv4, champs Serveurs DNS ajouter 1.1.1.1,1.0.0.1. Dans l'onglet Paramètres IPv6, champs Serveurs DNS ajouter 2606:4700:4700::1111,2606:4700:4700::1001, cliquer sur enregistrer. Pour que ce soit pris en compte, il faut se déconnecter, puis se reconnecter.

DNS-over-HTTPS (DoH) dans Firefox

#7Messageil y a 3 mois

Merci pour ces précisions.
Après les manips (j'ai même redémarré la box vu que ça ne changeait pas mes résultats), le test cloudflare ne change pas...
Testé sur chromium et FF.

Image

Image

Image

[marc@marc-pc ~]$ cat /etc/systemd/resolved.conf
#  This file is part of systemd.
#
#  systemd is free software; you can redistribute it and/or modify it
#  under the terms of the GNU Lesser General Public License as published by
#  the Free Software Foundation; either version 2.1 of the License, or
#  (at your option) any later version.
#
# Entries in this file show the compile time defaults.
# You can change settings by editing this file.
# Defaults can be restored by simply deleting this file.
#
# See resolved.conf(5) for details

[Resolve]
#DNS=
#FallbackDNS=1.1.1.1 9.9.9.10 8.8.8.8 2606:4700:4700::1111 2620:fe::10 2001:4860:4860::8888
#Domains=
#LLMNR=yes
#MulticastDNS=yes
#DNSSEC=allow-downgrade
#DNSOverTLS=no
#Cache=yes
#DNSStubListener=yes
#ReadEtcHosts=yes
[marc@marc-pc ~]$ 

DNS-over-HTTPS (DoH) dans Firefox

#8Messageil y a 3 mois

Après avoir modifié network.security.esni.enabled, il me reste que DNSSEC qui ne soit pas ok... :saispas:

Répondre