Page 1 sur 1
DNS-over-HTTPS (DoH) dans Firefox
Publié : 10 jui 2019, 09:17
par nam1962
Pour éviter que tout le monde connaisse vos requêtes...
Tout est décrit là :
https://www.zdnet.fr/pratique/pratique- ... 887257.htm
Re: DNS-over-HTTPS (DoH) dans Firefox
Publié : 10 jui 2019, 10:37
par papajoke
bonjour,
"tout le monde" c'est peut être un peu fort, normalement c'est notre FAI et notre gouvernement ...
Cela va certainement dans le bon sens ; mais le DoH propose Cloudflare (ou autre) comme serveur donc : Cloudflare lui peut lire et il est assujetti à des lois donc un autre gouvernement va lui aussi savoir. Donc nos visites risquent juste d'êtres visibles pour moins de monde : les pirates / homme du milieu ... qui (je ne pense pas) n'ont pas d’intérêt pour ces données pour les particuliers (et il semble que ff a un dèjà un système anti homme-du-milieu)
EDIT
cloudflare est
clair:
via le navigateur Firefox. Cloudflare ne collectera que les informations suivantes des utilisateurs de Firefox:
- Horodatage
Version IP (IPv4 vs IPv6)
Adresse IP du résolveur + Port d'où provient la requête
Protocole (TCP, UDP, TLS ou HTTPS)
Nom de la requête
Type de requête
Classe de requête
Query Rd bit set
Query Do bit set
Taille de la requête Requête EDNS
Version EDNS
Charge utile EDNS
EDNS Nsid
Type de réponse (normal, délai d'attente, bloqué)
Code de réponse
Taille de la réponse
Nombre de réponses
Temps de réponse en millisecondes
Réponse mise en cache
État de validation DNSSEC (sécurisé, non sécurisé, faux, indéterminé)
Colo ID
ID du serveur
---
ps: existe aussi DNS over TLS
Re: DNS-over-HTTPS (DoH) dans Firefox
Publié : 10 jui 2019, 12:30
par Smurf
Je crois que Cloudflare fournit déjà des données dans le cadre d'une étude de l'APNIC sur l'utilisation des adresses Ipv4/IPv6 (je n'ai de liens sous la main).
Re: DNS-over-HTTPS (DoH) dans Firefox
Publié : 10 jui 2019, 12:36
par nam1962
Ils disent ne stocker que 24h et ont un accord spécifique avec firefox, cela dit.
Il est aussi intéressant d'activer le
chiffrement du SNI :
Puis mettre
network.security.esni.enabled
à
true
Et tester :
https://www.cloudflare.com/ssl/encrypted-sni/
Sinon, côté DoT je suis comme çà pour le moment :
~]$ cat /etc/systemd/resolved.conf
# This file is part of systemd.
#
# systemd is free software; you can redistribute it and/or modify it
# under the terms of the GNU Lesser General Public License as published by
# the Free Software Foundation; either version 2.1 of the License, or
# (at your option) any later version.
#
# Entries in this file show the compile time defaults.
# You can change settings by editing this file.
# Defaults can be restored by simply deleting this file.
#
# See resolved.conf(5) for details
[Resolve]
#DNS=
FallbackDNS=1.1.1.1 9.9.9.10 8.8.8.8 2606:4700:4700::1111 2620:fe::10 2001:4860:4860::8888
Domains=~.
#LLMNR=yes
#MulticastDNS=yes
DNSSEC=allow-downgrade
DNSOverTLS=opportunistic
#Cache=yes
#DNSStubListener=yes
#ReadEtcHosts=yes
Re: DNS-over-HTTPS (DoH) dans Firefox
Publié : 11 jui 2019, 07:58
par imarco
Après modif à true, j'ai ça;
cat /etc/systemd/resolved.conf
# This file is part of systemd.
#
# systemd is free software; you can redistribute it and/or modify it
# under the terms of the GNU Lesser General Public License as published by
# the Free Software Foundation; either version 2.1 of the License, or
# (at your option) any later version.
#
# Entries in this file show the compile time defaults.
# You can change settings by editing this file.
# Defaults can be restored by simply deleting this file.
#
# See resolved.conf(5) for details
[Resolve]
#DNS=
#FallbackDNS=1.1.1.1 9.9.9.10 8.8.8.8 2606:4700:4700::1111 2620:fe::10 2001:4860:4860::8888
#Domains=
#LLMNR=yes
#MulticastDNS=yes
#DNSSEC=allow-downgrade
#DNSOverTLS=no
#Cache=yes
#DNSStubListener=yes
#ReadEtcHosts=yes
[marc@marc-pc ~]$
Re: DNS-over-HTTPS (DoH) dans Firefox
Publié : 11 jui 2019, 20:48
par Smurf
Ces fonctionnalités sont dépendantes du DNS employé, si tu ne configures rien en particulier, c'est le DNS de ton FAI qui est utilisé. Le plus simple serait de configurer ta connexion avec les DNS Cloudflare directement dans Network Manager.
Clic droit sur ton icône Connexion réseau-->Modifier les connexions-->choisir sa connexion et cliquer sur le bouton de modification--> dans l'onglet Paramètres IPv4, champs Serveurs DNS ajouter 1.1.1.1,1.0.0.1
. Dans l'onglet Paramètres IPv6, champs Serveurs DNS ajouter 2606:4700:4700::1111,2606:4700:4700::1001
, cliquer sur enregistrer. Pour que ce soit pris en compte, il faut se déconnecter, puis se reconnecter.
Re: DNS-over-HTTPS (DoH) dans Firefox
Publié : 12 jui 2019, 08:36
par imarco
Merci pour ces précisions.
Après les manips (j'ai même redémarré la box vu que ça ne changeait pas mes résultats), le test cloudflare ne change pas...
Testé sur chromium et FF.
[marc@marc-pc ~]$ cat /etc/systemd/resolved.conf
# This file is part of systemd.
#
# systemd is free software; you can redistribute it and/or modify it
# under the terms of the GNU Lesser General Public License as published by
# the Free Software Foundation; either version 2.1 of the License, or
# (at your option) any later version.
#
# Entries in this file show the compile time defaults.
# You can change settings by editing this file.
# Defaults can be restored by simply deleting this file.
#
# See resolved.conf(5) for details
[Resolve]
#DNS=
#FallbackDNS=1.1.1.1 9.9.9.10 8.8.8.8 2606:4700:4700::1111 2620:fe::10 2001:4860:4860::8888
#Domains=
#LLMNR=yes
#MulticastDNS=yes
#DNSSEC=allow-downgrade
#DNSOverTLS=no
#Cache=yes
#DNSStubListener=yes
#ReadEtcHosts=yes
[marc@marc-pc ~]$
Re: DNS-over-HTTPS (DoH) dans Firefox
Publié : 17 jui 2019, 08:37
par imarco
Après avoir modifié network.security.esni.enabled, il me reste que DNSSEC qui ne soit pas ok...