Le sachiez-tu ? Les résolveurs #DNS d'Orange mentent sur use-application-dns.net, prétendant qu'il n'existe pas.

Ce domaine est le « canari » de Firefox, permettant au FAI de débrayer #DoH à volonté et donc de forcer les requêtes DNS vers leur résolveur.

@bortzmeyer D'autre part, purement techniquement, je suis particulièrement peu persuadé que les canaris sont une bonne idée, surtout en réservant des noms comme ca (et les ancres utilisées pour DNSSEC sont à peine mieux). Apparemment personne n'a retenu les débâcles genre us-cert.gov/ncas/alerts/TA16-1 ; bien sûr un canari sans DNSSEC c'est doublement idiot.

@pmevzek L'absence de DNSSEC est cohérente puisque le canari est prévu pour qu'on puisse mentir (et ainsi débrayer DoH).

Suivre

@bortzmeyer Oui je me suis mal exprimé. J'ai amendé. Ce qui donne un mauvais signal: DNSSEC c'est bien sauf justement pour des trucs sérieux de configuration de DNS on doit faire sans... Complétement illogique.

· · Web · 0 · 0 · 0
Inscrivez-vous pour prendre part à la conversation
Framapiaf

Le réseau social de l'avenir : Pas d'annonces, pas de surveillance institutionnelle, conception éthique et décentralisation ! Possédez vos données avec Mastodon !