Utiliser d'autres DNS

Digitql

Digitql

Pain saucisse
Joon a dit:
C'était une blague
...
Cliquez pour agrandir...
J'utilisais ceux de Google il fut un temps mais le 1.1.1.1 de cloudlfare est mon actuel... Je suis pas geek au point de faire mon propre dns :D
 
Sebulba

Sebulba

Dieu
Staff
Ya deux problematiques niveau DNS

1) Les fournisseurs d'accès (proximus, voo) censurent certains domaines et donc "mentent" quand vous faites une résolution DNS
Ce probleme est resolu soit en faisant vos queries ailleurs (google, cloudflare) soit en faisant tourner votre propre DNS chez vous (NAS, pfsense, etc)

2) Il est possible de "sniffer" votre traffic DNS (qu'il soit destiné a votre isp ou a google/cloudflare) et donc de savoir sur quels sites vous surfez. Ici on entre dans un niveau de parano élevé. La solution est par exemple le DNS TLS (cfr korben) directement sur votre pc, ou encore un dns local mais qui lui meme forwarde en DNS TLS.

A noter que "faire du TLS chez CLoudflare" c'est utiliser un service americain dont on ne sait rien du tout, qui promet-jure qu'il ne veut que votre bien, mais vu qu'on parle ici d'être très parano ca me semble tout de même incomplet.
 
  • J'aime
Les réactions: Jereck
Jereck

Jereck

Α & Ω
Staff
On sait interroger les Root via TLS ?
Parce que sinon, ça sert à rien à part à déplacer le problème.
 
Sebulba

Sebulba

Dieu
Staff
Ça déplace grandement le problème en effet

Je ne pense pas que les root répondent en tls ni même les dns de pays d’ailleurs ; de toute façon même le port pour répondre en tls n’est pas standard à ma connaissance
 
Jereck

Jereck

Α & Ω
Staff
Sebulba a dit:
de toute façon même le port pour répondre en tls n’est pas standard à ma connaissance
Cliquez pour agrandir...
En gros, d'ici à ce que ce soit standardisé, TLS se sera fait casser par les ordinateurs quantiques...
 
Anewone

Anewone

Elite
Je viens tout juste d'installer et d'essayer sur mon PC non professionnel https://github.com/bitbeans/SimpleDnsCrypt
C'est OpenSource (sous licence MIT), en français ,et leur resolver sont tous cryptés (DoH DoT), peu de ping, aucun log (c'est ma seule crainte, à voir sur le long terme).

Affaire à suivre..
 
Sebulba

Sebulba

Dieu
Staff
Jereck J'en étais quasi sûr mais je viens de vérifier ; aucun des root NS ni des country ne parle tls, et c'est absolument pas standardisé de toute façon (ils n'auraient aucun moyen de dire aux resolvers comment il faut les contacter... autrement que par des bonnes vieilles query UDP port 53)

Ce qui confirme que le TLS vers cloudlfare est, si on est visé par la NSA ou autre, une supercherie complète, vu que la NSA n'a qu'a écouter le traffic sortant des DNS cloudflare (et ils ne s'en priveront pas)
Ok ils sauront pas précisement qui demande (et encore, c'est trivial en recoupant avec le timing du traffic entrant), mais ils sauront quels domaines sont demandés.
 
1er
OP
k o D

k o D

Elite
Évidemment quand je parle de privacy avec le Dns over Https, je pense bien entendu en premier lieu au suivi publicitaire et tracking de ton employeur et l'état belge.

T'es très loin d'être masqué, surtout en utilisant CloudFare derrière.

Mais Firefox permet de configurer n'importe quel server dns derrière donc si tu sais faire le tien, c'est cool.
 
Sebulba

Sebulba

Dieu
Staff
Ouioui je dois dire qu'il y a un intérêt a utiliser dns over https, je suis d'accord.
 
  • J'aime
Les réactions: k o D
Connectez-vous pour réagir !
Haut