Trolldi :Mozilla nominé parmi les "Internet Villain" par l'ISPA britannique pour son support de DNS-over-HTTPS

Trolldi : Mozilla nominé parmi les "Internet Villain" par l'ISPA britannique pour son support de DNS-over-HTTPS,
aux côtés de l'article 13 et de Donald Trump

L'association professionnelle des fournisseurs de services Internet (ISPA - Internet Services Providers’ Association) du Royaume-Uni a désigné Mozilla comme l’un des finalistes du prix Internet Villain de cette année.

Dans un billet de blog, elle a déclaré :

« L’Association des fournisseurs de services Internet est heureuse d’annoncer les finalistes du Internet Hero and Villain 2019.

« À une époque où la technologie et Internet ont pris une place prépondérante et sont un moteur d'innovation et de croissance, les problèmes politiques posés par cette perturbation font désormais partie des plus grands problèmes auxquels sont confrontés les décideurs dans le monde.

« Les nominations Internet Hero cette année incluent les entités qui font campagne pour améliorer la confiance et la confidentialité en ligne; tirant vers le haut l’évolution du paysage haut débit au Royaume-Uni; et travaillant sur les questions de gouvernance mondiale de l'internet. Tandis que les nominés Villain prennent en compte l’impact des nouvelles normes techniques sur les protections en ligne existantes, l’équilibre entre la liberté d’expression et le droit d’auteur en ligne et la chaîne logistique mondiale des télécommunications ».

Pièce jointe 489139

L’ISPA britannique a publié la liste ci-dessous « après des semaines de consultation et un grand nombre de candidatures reçues par le public via e-mail et Twitter » :

ISPA Internet Hero

• Sir Tim Berners-Lee : pour avoir lancé une Magna carta pour le Web visant à rétablir la confiance et à protéger la nature ouverte et libre d’Internet à l’occasion du trentième anniversaire du World Wide Web. Le contrat pour le Web est un effort visant à réunir les gouvernements, les entreprises, la société civile et les utilisateurs du Web afin de développer une feuille de route pour créer un Web au service de l’humanité et qui constitue un bien public pour tous, partout dans le monde.
  
  L’objectif est de se servir du contrat pour que chaque partie soit tenue responsable de faire sa part afin de créer un Web ouvert et gratuit.
  
  Ceux qui souscrivent aux principes contractuels auront l’occasion de définir un contrat complet dans le cadre d’un processus de collaboration avec les gouvernements, les entreprises et les internautes individuels, en négociant des actions spécifiques à entreprendre par chaque partie.
  
• Andrew Ferguson OBE, éditeur, Thinkbroadband : pour ses analyses indépendantes et ses précieuses données sur le marché du haut débit au Royaume-Uni depuis 2000
  
• Oscar Tapp-Scotting & Paul Blaker, équipe mondiale de la gouvernance de l’Internet, DCMS : pour avoir dirigé les efforts du gouvernement britannique pour assurer un programme équilibré et proportionné à la Conférence de l’Union internationale des télécommunications

ISPA Internet Villain

• Mozilla : pour son approche proposée visant à introduire DNS sur HTTPS de manière à contourner les obligations de filtrage et les contrôles parentaux du Royaume-Uni, sapant ainsi les normes de sécurité Internet au Royaume-Uni
• Article 13 de la directive sur le droit d'auteur : pour menacer la liberté d'expression en ligne en exigeant des « technologies de reconnaissance du contenu » sur toutes les plateformes
• Le président Donald Trump : pour avoir créé une énorme incertitude dans la chaîne logistique mondiale complexe de télécommunications dans le but de protéger la sécurité nationale.

Le cas de Mozilla

L’ISPA britannique a donc dans sa liste des Internet Villain Mozilla en raison des projets de la Fondation visant à prendre en charge le protocole DNS sur HTTPS (DoH) dans son navigateur Firefox.

Qu’est-ce que DoH et pourquoi cela n’enchante pas les FAI ?

Le protocole DNS sur HTTPS (IETF RFC8484) fonctionne en envoyant des demandes DNS via une connexion HTTPS chiffrée, plutôt qu'en utilisant une demande UDP en texte brut classique, comme le système DNS classique fonctionne.

L'autre différence est qu'en plus d'être chiffré, le protocole DoH fonctionne également au niveau de l'application, plutôt qu'au niveau du système d'exploitation.

Toutes les connexions DNS sur HTTPS ont lieu entre une application (telle qu'un navigateur ou une application mobile) et un serveur DNS sécurisé et compatible DoH (résolveur).

Pièce jointe 489144

Tout le trafic DoH est fondamentalement juste HTTPS. Les requêtes de noms de domaine DoH sont chiffrées, puis cachées dans le trafic Web normal envoyé au résolveur DNS DoH, qui répond ensuite avec l'adresse IP d'un nom de domaine, également dans un HTTPS chiffré.

Comme effet secondaire de cette conception, cela signifie également que chaque application contrôle la confidentialité de ses requêtes DNS et peut câbler une liste de serveurs DNS (résolveurs) sur HTTPS dans ses paramètres, sans dépendre des serveurs DNS par défaut du système d'exploitation (qui sont probablement DoH-non-compatible).

Cette conception de protocole signifie que les demandes DNS d'un utilisateur sont invisibles pour les observateurs tiers, tels que les fournisseurs de services Internet; et toutes les requêtes et réponses DNS DoH cachées dans un nuage de connexions chiffrées, indiscernables de l’autre trafic HTTPS.

En théorie, le protocole est un rêve des défenseurs de la vie privée, mais un cauchemar pour les fournisseurs de services Internet et les fabricants d'appareils de sécurité réseau.

Le Royaume-Uni a peur que DoH soit un handicap pour son schéma national de blocage du Web

Au Royaume-Uni, les fournisseurs de services Internet sont légalement contraints de bloquer certains types de sites Web, tels que ceux qui hébergent des contenus portant atteinte aux droits d'auteur ou faisant l'objet d'une marque. Certains fournisseurs d'accès bloquent également d'autres sites à leur discrétion, tels que ceux qui affichent un contenu extrémiste, des images pour adultes et de la pornographie enfantine. Ces derniers blocages sont volontaires et ne sont pas les mêmes partout au Royaume-Uni, mais la plupart des fournisseurs de services Internet ont généralement tendance à bloquer le contenu sur la maltraitance des enfants.

Il ne faut pas oublier que, pour pallier le problème de la facilité de consommer du média pour adulte en ligne, le gouvernement britannique a mis en œuvre les dispositions du projet de loi sur l'économie numérique adopté par le Parlement britannique en 2017. En vertu de la loi, les sites pornographiques commerciaux seront tenus de vérifier qu'un utilisateur britannique a plus de 18 ans avant de lui permettre d'accéder à du matériel pornographique. Les censeurs britanniques auront également le pouvoir d'interdire la pornographie en ligne « extrême », qui comprend certains types de contenu sexuel violent ainsi que du contenu impliquant des actes sexuels avec des cadavres ou des animaux.

Pièce jointe 489147

En prévoyant de prendre en charge DNS-over-HTTPS, Mozilla compromet la capacité de nombreux FAI à détecter le trafic de leurs clients et à le filtrer pour les « sites malveillants » mandatés par le gouvernement.

Certains FAI basés au Royaume-Uni, tels que British Telecom, ont manifesté leur soutien public au protocole DoH, mais pas la grande majorité.

Conclusion

L’attaque de l’ISPA britannique fait suite à une période de deux mois au cours de laquelle Google et Mozilla ont été critiqués au Royaume-Uni pour leur projet de prise en charge de DNS-over-HTTPS dans leurs navigateurs respectifs, Chrome et Firefox.

À la mi-mai, la baronne Thornton, députée du parti travailliste, a évoqué le protocole DoH et le soutien imminent des éditeurs de navigateurs lors d'une session de la Chambre des communes, qualifiant le projet de menace pour la sécurité en ligne du Royaume-Uni.

De même, le GCHQ, les services de renseignement britanniques, a également critiqué Google et Mozilla, affirmant que le nouveau protocole entraverait les enquêtes de la police et risquerait de saper les protections que le gouvernement dispose déjà contre les sites Web malveillants.

Quoiqu’il en soit, les gagnants des Heroes and Villains de cette année seront choisis par le Conseil ISPA et seront annoncés lors de la cérémonie de remise des prix ISPA le 11 juillet à Londres.

Source : ISPA

Et vous ?

:fleche: Que pensez-vous des différents nominés dans ces deux catégories ?
:fleche: Auriez-vous voté pour une ou plusieurs autres entités ? Lesquelles ?
:fleche: Que pensez-vous de la nomination de Mozilla ?
:fleche: Qui mérite selon vous d'être lauréat chez les Heroes et chez les Villain ?

Voir aussi :

:fleche: Parlement UK : EA préfère le terme "mécanique de surprise" à "loot box", assurant qu'il ne s'agit pas d'un jeu de hasard mais d'un système éthique
:fleche: Apple et Google condamnent la proposition UK visant à espionner les messages chiffrés, en ajoutant un participant "fantôme" aux discussions de groupe
:fleche: UK : dès le 15 juillet, les sites pornographiques seront obligés de procéder à une vérification de l'âge, sous peine d'être bloqués par les FAI
:fleche: UK : Facebook ne doit pas se considérer comme étant un « gangster numérique » qui est au-dessus des lois, les législateurs envisagent de le superviser

Donc le DoH c'est mal car ça respecte la vie privée? :aie:

Je suis d'accord avec 2 de la liste des "Villain", particulièrement l'article 13, mais Mozilla je l'aurai mis dans les héros. Chacun ses intérêts ... :mrgreen:
J'aurai rajouté la nouvelle loi sur la cyberhaine à la place de Mozilla, mais bon, ne soyons pas chauvin :frenchy:

Mozilla lutte pour la vie privé des utilisateurs, pour l'open source etcontre la collecte des données. De plus, elle offre beaucoup d'outils gratuitement qui sont une véritable alternative face aux grands du Net. Mettre la Fondation parmis les villains du Net est totalement déshonorant.

Cela montre bien le but politique de la manœuvre. C'est pas en rajoutant des blocages que l'Internet va s'améliorer, cela va uniquement accentuer la censure au profit des dirigeant du moment.
Pour le coup, la catégorie Trolldi est bien méritée :lol:

Dommage que Google n'ait pas sorti son moteur de recherche pour la Chine, il aurait remporté le podium pour avoir rétabli la confiance et contribué à faire respecter les normes de sécurité Internet ! :mouarf:

DoH me plais bien pour le coté "chiffré sur https", mais beaucoup moins pour le coté "résolution au niveau application plutôt que système".
Dans la mesure ou je n'utilise que des systèmes que je peux rooté, cela demande de déplacer la confiance sur le niveau applicatif, et je ne sais pas forcément comment contourner les réglages applicatif (alors que je sais le faire pour le système).
Un mode qui force DoH à passer par une centralisé système me plairais bien.
Par exemple, si je veux changer une adresse spécifique pour la renvoyer sur mon site de test (ou la bloquer) comment je fais pour le dire à toutes mes applications ?

:heart: Firefox :heart: for ever.

Et DNS-over-TLS pose le même souci alors, c'est des requêtes DNS chiffrées envoyées sur le port 853.
Déjà en fonctionnement sur Android 9.
A mois que les FAI anglais aient l'intention de bloquer DNS-over-TLS.

Plus je lis les critiques contre DoH, et plus je me dis que c'est une bonne idée. Je suis le seul?

bravo Firefox, on se passera des anglais, ca ne me gêne aucunement

pour ceux qui n'ont pas la foi de cherché mais qui sont intéressé... j'ai nommé : le vertueux Quad9.
il propose plusieurs DNS lookup avec différent filtres.
Les voici :

Quad9 (US, CleanerDNS)
9.9.9.10 2620:fe::10 (resolveurs non sécurisés --> sans filtre)
9.9.9.9/149.112x3 2620:fe::fe/9 (provides DNSSEC validation on the primary resolver)
DNS over TLS sur le port 853 --> dns.quad9.net.
DNS over HTTPS, port 53 --> dns.quad9.net.
DNS on HTTP, port 9953 --> dns.quad9.net.
il ne filtre pas le contenu, uniquement les domaines... de phishing, de malwares, et exploit kit domain, connu.
il clame ne pas stocker de données sur les utilisateurs... les logs sont partiels --> queried, timestamp, city, state, country ...mais pas le reste (IP)
son business model se fait par le retour de la télémetrie anonymisé concernant la liste des sites malicieux que les entreprises de sécurité lui ont fourni. On est donc plutôt bien immunisé contre le profilage de régies publicitaire, puisque le modèle économique semble logiquement viable.

il y a aussi les expanded addresses for IPv6 :
2620:fe::fe --> 2620:fe:0:0:0:0:0:fe
2620:fe::9 --> 2620:fe:0:0:0:0:0:9
2620:fe::10 --> 2620:fe:0:0:0:0:0:10
2620:fe::fe:10 --> 2620:fe:0:0:0:0:fe:10

have fun ! :D

Fournir un DNS plus sécurisé ne fait pas de nous des méchants, répond Mozilla
À l'association des FAI du Royaume-Uni au sujet du DNS-over-HTTPS

L’association professionnelle des fournisseurs de services Internet (abrégé ISPA - Internet Services Providers’ Association) du Royaume-Uni a récemment désigné Mozilla comme l’un des finalistes du prix Internet Villain de 2019 aux côtés du président américain Donald Trump et de l’article 13 de la directive sur le droit d’auteur. Comme l’a souligné l’ISPA, « les nominés Villain prennent en compte l’impact des nouvelles normes techniques sur les protections en ligne existantes, l’équilibre entre la liberté d’expression et le droit d’auteur en ligne et la chaîne logistique mondiale des télécommunications ».

L’ISPA a retenu la fondation Mozilla à cause de son initiative DNS-over-HTTPS (DoH) visant à mettre en place sur son navigateur une spécification pour la résolution à distance du Domain Name System (DNS) via le protocole HTTPS. D’après la Fondation, la mise en œuvre du DoH devrait améliorer la confidentialité et la sécurité des internautes tout en empêchant l’Eavesdropping et la manipulation de DNS par des attaques de l’homme du milieu.

Pièce jointe 489457

Le protocole DoH fonctionne en prenant un nom de domaine qu'un utilisateur a tapé dans son navigateur puis en envoyant une requête à un serveur DNS pour connaître l'adresse IP numérique du serveur web qui héberge ce site spécifique. Mais il prend la requête DNS et l'envoie à un serveur DNS compatible DoH (résolveur) via une connexion HTTPS chiffrée sur le port 443, plutôt qu'en texte clair sur le port 53. De cette façon, il masque les requêtes DNS dans le trafic HTTPS régulier et augmente le niveau de sécurité / confidentialité des séances de navigation. Par ailleurs, chaque application contrôle la confidentialité de ses requêtes DNS et peut câbler une liste de serveurs DNS (résolveurs) sur HTTPS dans ses paramètres, sans dépendre des résolveurs par défaut du système d’exploitation (probablement DoH-non-compatible).

Le problème du point de vue de l’ISPA

En théorie, ce système compromet sérieusement la capacité de nombreux FAI à détecter le trafic de leurs clients et à le filtrer pour isoler les « sites malveillants » désignés par les régulateurs : un rêve pour les défenseurs de la vie privée, mais un cauchemar pour les fournisseurs de services Internet et les fabricants d’appareils de sécurité réseau. L’ISPA déplore le fait que cette initiative permettra aux internautes de contourner les obligations de filtrage, les contrôles parentaux et, plus largement, les normes de sécurité Internet en vigueur au Royaume-Uni. L’organisation estime que le DoH va nuire à l’obligation de filtrage et de régulation du contenu accessible en ligne instituée dans le pays et qui a été renforcée depuis l’adoption de la « Digital Economy Act 2017 ».

La réponse de Mozilla

« Nous sommes surpris et déçus qu’une association regroupant des FAI ait décidé de dénaturer une amélioration de l’infrastructure Internet vieille de plusieurs décennies », a déclaré un porte-parole de Mozilla en guise de réponse aux allégations de l’ISPA. Il assure en outre : « un DNS plus privé ne pourrait pas empêcher l’utilisation du filtrage de contenu ou des contrôles parentaux au Royaume-Uni. DNS-over-HTTPS offrirait de réels avantages en matière de sécurité aux citoyens britanniques ».

Mozilla insiste sur le fait que son objectif est de construire un Internet plus sûr et qu’elle milite pour une approche constructive sur les questions en rapport avec la sécurité lors des discussions avec les différentes « parties prenantes crédibles au Royaume-Uni », sans toutefois préciser si elle considérait l’ISPA comme tel.

L’éditeur de Firefox ne prévoit pas d’activer le DoH par défaut au Royaume-Uni. Cependant, son porte-parole a confié : « nous explorons actuellement des partenaires potentiels du DoH en Europe afin d’apporter cette importante fonctionnalité de sécurité à d’autres Européens de manière plus générale ».

Comment activer le DoH

Le guide ci-dessous montre aux utilisateurs de Firefox comment activer cette fonctionnalité. Les paramètres devraient s'appliquer immédiatement. Dans le cas contraire, redémarrer Firefox après la configuration.

Étape 1 : tapez about:config dans la barre d’adresse et appuyez sur Entrée pour accéder au panneau de configuration de Firefox. Ici, les utilisateurs devront activer et modifier trois paramètres.

Étape 2 : le premier réglage concerne le mode « network.trr.mode » qui active le support du DoH. Ce réglage prend en charge quatre valeurs :

• 0 - Valeur par défaut dans les installations Firefox standard
• 1 - DoH est activé, mais Firefox choisit s'il utilise DoH ou un DNS régulier basé sur lequel renvoie des réponses de requête plus rapides
• 2 - DoH est activé, et le DNS régulier fonctionne comme une sauvegarde
• 3 - DoH est activé, et le DNS régulier est désactivé
• 5 - Le DoH est désactivé

Pièce jointe 489465

Étape 3 (facultative) : le deuxième paramètre qui doit être modifié est « network.trr.uri ». Il s'agit de l'adresse du serveur DNS DoH compatible où Firefox enverra des requêtes DNS DoH. Par défaut, Firefox utilise le service DoH de Cloudflare. Toutefois, les utilisateurs peuvent utiliser leur propre URL de serveur DoH.

Pièce jointe 489469

Source : Forbes, Wiki Mozilla

Et vous ?

:fleche: Que pensez-vous de la réponse de Mozilla ?
:fleche: Quel serait votre classement du « top 3 des meilleurs vilains d’Internet » pour 2019 ?

Voir aussi

:fleche: DNS-over-HTTPS : Mozilla estime que les premiers essais ont été réussis et va étendre le test à d'autres utilisateurs de Firefox
:fleche: Parlement UK : EA préfère le terme "mécanique de surprise" à "loot box", assurant qu'il ne s'agit pas d'un jeu de hasard mais d'un système éthique
:fleche: Firefox : des chercheurs en sécurité inquiets au sujet du mécanisme de résolution d'adresse DNS qui s'appuie par défaut sur les serveurs Cloudfare

J'ai pas trop compris ce qu'était doh, mais j'ai compris que ça rend https plus sécurisé et que ça permet des contournements de restrictions. Bon... Je crois que je suis pour.

Ce que je ne comprends pas ici, c'est comment se passe la résolution initiale du nom du service de DoH ? On passe toujours par du DNS classique ?

Si oui ce n'est pas trés sûr non plus. Pour moi tout service de résolution de noms ne peux être qu'accéder que sur son addresse IP.

Louable fonctionnalité qui a effectivement plusieurs avantages du point de vue de l'utilisateur final :
1-) Contourner la censure sur les requêtes DNS,
2-) Rendre beaucoup plus difficile pour le FAI de maintenir un historique de navigation,
3-) Grandement compliquer les attaques du type "homme du milieu".

Merci Mozilla :D

Merci Mozilla et a vous pour cet article

Citation:

---

Envoyé par The F0x

Ce que je ne comprends pas ici, c'est comment se passe la résolution initiale du nom du service de DoH ? On passe toujours par du DNS classique ?

Si oui ce n'est pas trés sûr non plus. Pour moi tout service de résolution de noms ne peux être qu'accéder que sur son addresse IP.

---

En général, les DNS sont enregistrés par leur IP. Il n'y a donc pas de résolution initiale.

Citation:

---

Envoyé par Jiji66

Louable fonctionnalité qui a effectivement plusieurs avantages du point de vue de l'utilisateur final :
1-) Contourner la censure sur les requêtes DNS,
2-) Rendre beaucoup plus difficile pour le FAI de maintenir un historique de navigation,
3-) Grandement compliquer les attaques du type "homme du milieu".

Merci Mozilla :D

---

Ce qui embête le plus les FAI à mon avis, c'est qu'après avoir perdu l'accès à ce que tu échange à cause d'HTTPS, ils perdront aussi le nom du site avec qui tu échanges.

Citation:

---

Envoyé par viper1094

J'ai pas trop compris ce qu'était doh, mais j'ai compris que ça rend https plus sécurisé et que ça permet des contournements de restrictions. Bon... Je crois que je suis pour.

---

Tu n'as pas bien saisi le contexte. Je vais tenter de l'expliquer.

D'un coté tu as internet, dont le premier maillon est obligatoirement l’infrastructure de ton FAI (ou de celui qui le loue à ton FAI), et de l'autre tu as ton réseau local (ton PC), et ta box internet a un pied dans chaque coté en faisant office de routeur.
Quand tu tapes une adresse web qui n'est pas sous la forme d'une IP, cela déclenche une requête DNS pour en trouver l'équivalent en IP.
Ton PC envoie la requête à ta box, qui est relayé à l'infrastructure connecté physiquement à ta box, puis est relayé à ton FAI (afin qu'il applique à ton trafic tout ce en quoi il est obligé ...ou a envie), puis transite dans l'internet jusqu'a atterrir sur le résolveur DNS qui te renvoies alors l'IP à travers le chemin inverse.
Jusque là, à travers le port 43 (non chiffré), c'est comme une jolie carte postale (pas une lettre sous enveloppe opaque) que tout les intermédiaires lisent avec une grande curiosité ! x)
La différence avec le DoH (ou mieux : DoT --> TLS), c'est que ce qui était fait auparavant avec ton IP, la requête, l'identifiant du navigateur web... est effectué uniquement pour échanger les clé publique et privé, la connexion sécurisé étant établie, la requête est envoyée.

J'espère que tu as saisies la différence plutôt conséquente.

Avant, pour sécuriser les échanges DNS, on était plutôt sur ce type de raisonnement :
l'envoi de la requête entre la source et le DNS s'effectue sans aucune authentification, n'importe quel tiers peu scrupuleux peu en tirer partie.
De nombreux détournements sont possibles, en particulier : par attaque sur le système de routage (opéré par un intermédiaire, ou bien par un FAI malhonnête)
NB : un FAI concurrent utilise l'infrastructure (mutualisé) de son concurrent ...il y a donc déjà un intermédiaire dans ce cas là.
Il n'y a donc aucunes garanties qu'on parle bien aux DNS resolvers. Pour s'en protéger, il existe plusieurs solutions techniques mais aucune ne semble réaliste.
Les seules solutions DNS (j'exclus IPsec et compagnie) possibles sont TSIG (RFC 2845), et SIG(0) (RFC 2931) (que personne n'a jamais déployé). TSIG repose sur un secret partagé, et est donc inutilisable pour un service public comme Google DNS
NB: Pour un minimum de sécurité DNS over HTTPS et DNS over TLS sont apparu.
NB: faire appel a un service non-Google, un tiers qui ne gèrent qu'un unique service limite les corrélations qu'ils peuvent établir et donc le mal qu'ils peuvent faire. Au contraire, Google, ayant une offre complète, peut établir des relations, mettre en connexion des données, et représente donc un danger potentiel plus important.
Externaliser son courrier à Gmail (ou son DNS à Google DNS), est une chose. Externaliser tous ses services en est une autre. Cela revient à avoir la même entreprise qui serait à la fois votre banque, votre médecin, votre épicier et votre garagiste...
Google peut gagner de l'argent (spéculation) :
en exploitant l'information recueillie pour améliorer le moteur de recherche,
en vendant cette information (les noms les plus populaires, par exemple, une information qui intéressera les domainers, surtout si la réponse est NXDOMAIN, indiquant que le domaine est libre),
en hébergeant, dans le futur (ce service n'existe pas aujourd'hui), moyennant finances, des serveurs faisant autorité, qui profiteront de la proximité du résolveur pour de meilleures performances. Google, futur hébergeur de TLD ?
Reconstituer la totalité d'un TLD, même lorsque celui-ci ne publie pas cette information, en comptant les noms dans les requêtes et les réponses obtenues.
Ou, tout simplement, s'assurer que l'Internet fonctionne bien, pour que les clients puissent aller voir les autres services de Google (chez certains FAI, les résolveurs DNS marchent mal, ce qui gêne sans doute Google dans son cœur de métier).

C'est un peu plus clair merci. :mrgreen:

et dans l’exemple tout passe encore par cloudflare …

Pour ceux que cela interesse https://www.bortzmeyer.org/ regorge de détails rfc

Citation:

---

Envoyé par Kulvar

En général, les DNS sont enregistrés par leur IP. Il n'y a donc pas de résolution initiale.



Ce qui embête le plus les FAI à mon avis, c'est qu'après avoir perdu l'accès à ce que tu échange à cause d'HTTPS, ils perdront aussi le nom du site avec qui tu échanges.

---

Pas tout à fait!
Vu qu'on passe par de l'https, le certificat est validé obligatoirement par nom de domaine (je crois qu'il y a une exception mais c'est à la marge)
J'ai assisté à la conf d'un des certificateur, au JDLL, et sa réponse "passe par le hosts"

Du coup on configure son DNS par hostname, et on met l'ip du hostname dans le fichier "hosts"

autre astuce, lors de sa démo, ils se connectait à son dns en mode classique pour avoir le host en cache, puis switchait sur le mode doh. c'est juste une démo, je me demande dans quelle mesure c'est fiable.

Edit:
la seule exception permettant un certificat (valide!) par IP est justement le 1.1.1.1 qui correspond à Cloudflare!