Le sachiez-tu ? Les résolveurs #DNS d'Orange mentent sur use-application-dns.net, prétendant qu'il n'existe pas.

Ce domaine est le « canari » de Firefox, permettant au FAI de débrayer #DoH à volonté et donc de forcer les requêtes DNS vers leur résolveur.

@bortzmeyer D'autre part, purement techniquement, je suis particulièrement peu persuadé que les canaris sont une bonne idée, surtout en réservant des noms comme ca (et les ancres utilisées pour DNSSEC sont à peine mieux). Apparemment personne n'a retenu les débâcles genre us-cert.gov/ncas/alerts/TA16-1 ; bien sûr un canari sans DNSSEC c'est doublement idiot.

@pmevzek L'absence de DNSSEC est cohérente puisque le canari est prévu pour qu'on puisse mentir (et ainsi débrayer DoH).

@bortzmeyer
J'ai peut être mal compris, mais donc si on force l'utilisation de DoH, il ne regarde plus le canari ?
Ou il regarde forcément le canari avant d'activer ?

Car dans le 2ième cas, si Orange bloque le canari, ils passeront forcement sans DoH.
A moins d'avoir configuré sur sa machine un autre résolveur (donc une minorité d'utilisateur).

@pmevzek

Suivre

@C_Chell @bortzmeyer support.mozilla.org/en-US/kb/c " If a user has chosen to manually enable DoH, the signal from the network will be ignored and the user’s preference will be honored. " Donc c'est le premier cas: si on force DoH, le canari n'est plus interrogé.

· · Web · 1 · 0 · 1

@pmevzek
Ok, merci, j'avais raté la ligne (bon à 23h, cela ne m'étonne pas)
@bortzmeyer

Inscrivez-vous pour prendre part à la conversation
Framapiaf

Le réseau social de l'avenir : Pas d'annonces, pas de surveillance institutionnelle, conception éthique et décentralisation ! Possédez vos données avec Mastodon !