Page 1 sur 1

DNS-over-HTTPS (DoH) dans Firefox

Publié : 10 jui 2019, 09:17
par nam1962
Pour éviter que tout le monde connaisse vos requêtes...

Tout est décrit là : https://www.zdnet.fr/pratique/pratique- ... 887257.htm

Re: DNS-over-HTTPS (DoH) dans Firefox

Publié : 10 jui 2019, 10:37
par papajoke
bonjour,

"tout le monde" c'est peut être un peu fort, normalement c'est notre FAI et notre gouvernement ...

Cela va certainement dans le bon sens ; mais le DoH propose Cloudflare (ou autre) comme serveur donc : Cloudflare lui peut lire et il est assujetti à des lois donc un autre gouvernement va lui aussi savoir. Donc nos visites risquent juste d'êtres visibles pour moins de monde : les pirates / homme du milieu ... qui (je ne pense pas) n'ont pas d’intérêt pour ces données pour les particuliers (et il semble que ff a un dèjà un système anti homme-du-milieu)

EDIT
cloudflare est clair:
via le navigateur Firefox. Cloudflare ne collectera que les informations suivantes des utilisateurs de Firefox:
  • Horodatage
    Version IP (IPv4 vs IPv6)
    Adresse IP du résolveur + Port d'où provient la requête
    Protocole (TCP, UDP, TLS ou HTTPS)
    Nom de la requête
    Type de requête
    Classe de requête
    Query Rd bit set
    Query Do bit set
    Taille de la requête Requête EDNS
    Version EDNS
    Charge utile EDNS
    EDNS Nsid
    Type de réponse (normal, délai d'attente, bloqué)
    Code de réponse
    Taille de la réponse
    Nombre de réponses
    Temps de réponse en millisecondes
    Réponse mise en cache
    État de validation DNSSEC (sécurisé, non sécurisé, faux, indéterminé)
    Colo ID
    ID du serveur
---

ps: existe aussi DNS over TLS

Re: DNS-over-HTTPS (DoH) dans Firefox

Publié : 10 jui 2019, 12:30
par Smurf
Je crois que Cloudflare fournit déjà des données dans le cadre d'une étude de l'APNIC sur l'utilisation des adresses Ipv4/IPv6 (je n'ai de liens sous la main).

Re: DNS-over-HTTPS (DoH) dans Firefox

Publié : 10 jui 2019, 12:36
par nam1962
Ils disent ne stocker que 24h et ont un accord spécifique avec firefox, cela dit.

Il est aussi intéressant d'activer le chiffrement du SNI :

about:config
Puis mettre

network.security.esni.enabled
à true

Et tester : https://www.cloudflare.com/ssl/encrypted-sni/

Sinon, côté DoT je suis comme çà pour le moment :

~]$ cat /etc/systemd/resolved.conf
#  This file is part of systemd.
#
#  systemd is free software; you can redistribute it and/or modify it
#  under the terms of the GNU Lesser General Public License as published by
#  the Free Software Foundation; either version 2.1 of the License, or
#  (at your option) any later version.
#
# Entries in this file show the compile time defaults.
# You can change settings by editing this file.
# Defaults can be restored by simply deleting this file.
#
# See resolved.conf(5) for details

[Resolve]
#DNS=
FallbackDNS=1.1.1.1 9.9.9.10 8.8.8.8 2606:4700:4700::1111 2620:fe::10 2001:4860:4860::8888
Domains=~.
#LLMNR=yes
#MulticastDNS=yes
DNSSEC=allow-downgrade
DNSOverTLS=opportunistic
#Cache=yes
#DNSStubListener=yes
#ReadEtcHosts=yes

Re: DNS-over-HTTPS (DoH) dans Firefox

Publié : 11 jui 2019, 07:58
par imarco
Après modif à true, j'ai ça;

Image

cat /etc/systemd/resolved.conf
#  This file is part of systemd.
#
#  systemd is free software; you can redistribute it and/or modify it
#  under the terms of the GNU Lesser General Public License as published by
#  the Free Software Foundation; either version 2.1 of the License, or
#  (at your option) any later version.
#
# Entries in this file show the compile time defaults.
# You can change settings by editing this file.
# Defaults can be restored by simply deleting this file.
#
# See resolved.conf(5) for details

[Resolve]
#DNS=
#FallbackDNS=1.1.1.1 9.9.9.10 8.8.8.8 2606:4700:4700::1111 2620:fe::10 2001:4860:4860::8888
#Domains=
#LLMNR=yes
#MulticastDNS=yes
#DNSSEC=allow-downgrade
#DNSOverTLS=no
#Cache=yes
#DNSStubListener=yes
#ReadEtcHosts=yes
[marc@marc-pc ~]$ 
:saispas:

Re: DNS-over-HTTPS (DoH) dans Firefox

Publié : 11 jui 2019, 20:48
par Smurf
Ces fonctionnalités sont dépendantes du DNS employé, si tu ne configures rien en particulier, c'est le DNS de ton FAI qui est utilisé. Le plus simple serait de configurer ta connexion avec les DNS Cloudflare directement dans Network Manager.

Clic droit sur ton icône Connexion réseau-->Modifier les connexions-->choisir sa connexion et cliquer sur le bouton de modification--> dans l'onglet Paramètres IPv4, champs Serveurs DNS ajouter 1.1.1.1,1.0.0.1. Dans l'onglet Paramètres IPv6, champs Serveurs DNS ajouter 2606:4700:4700::1111,2606:4700:4700::1001, cliquer sur enregistrer. Pour que ce soit pris en compte, il faut se déconnecter, puis se reconnecter.

Re: DNS-over-HTTPS (DoH) dans Firefox

Publié : 12 jui 2019, 08:36
par imarco
Merci pour ces précisions.
Après les manips (j'ai même redémarré la box vu que ça ne changeait pas mes résultats), le test cloudflare ne change pas...
Testé sur chromium et FF.

Image

Image

Image

[marc@marc-pc ~]$ cat /etc/systemd/resolved.conf
#  This file is part of systemd.
#
#  systemd is free software; you can redistribute it and/or modify it
#  under the terms of the GNU Lesser General Public License as published by
#  the Free Software Foundation; either version 2.1 of the License, or
#  (at your option) any later version.
#
# Entries in this file show the compile time defaults.
# You can change settings by editing this file.
# Defaults can be restored by simply deleting this file.
#
# See resolved.conf(5) for details

[Resolve]
#DNS=
#FallbackDNS=1.1.1.1 9.9.9.10 8.8.8.8 2606:4700:4700::1111 2620:fe::10 2001:4860:4860::8888
#Domains=
#LLMNR=yes
#MulticastDNS=yes
#DNSSEC=allow-downgrade
#DNSOverTLS=no
#Cache=yes
#DNSStubListener=yes
#ReadEtcHosts=yes
[marc@marc-pc ~]$ 

Re: DNS-over-HTTPS (DoH) dans Firefox

Publié : 17 jui 2019, 08:37
par imarco
Après avoir modifié network.security.esni.enabled, il me reste que DNSSEC qui ne soit pas ok... :saispas: