Pour faire suite au wébinaire "Comment créer et tester votre résolveur DNS sur TLS et DNS sur HTTPS (DoT/DoH)", l’Afnic publie les ressources présentées à cette occasion, en association avec son Conseil scientifique.

Le DNS est utilisé dans la quasi-totalité des échanges sur internet (accès aux noms de domaine, services, applications, etc.).

Ce protocole majeur était l’un des derniers à ne pas être protégé par la cryptographie pour le transport des informations (requêtes et réponses). Il évolue rapidement ces dernières années pour renforcer la sécurisation des requêtes DNS et l’utilisation des nouveaux canaux (TLS, http/2, http/3) afin de ne plus transiter en clair sur le réseau.

L’objectif principal de cette mise en œuvre étant de protéger le lien entre un utilisateur et le résolveur configuré.

Il est à noter que le renforcement du niveau de confidentialité des échanges est complémentaire à DNSSEC, qui reste un mécanisme nécessaire pour la vérification de l’intégrité d’une réponse DNS.

L’Afnic est partie du constat qu’il n’existait pas ou peu de ressources francophones sur la mise en œuvre d’un résolveur DoT ou DoH (aujourd’hui principalement des guides pour configurer le transfert de ses requêtes vers un résolveur tiers supportant DoT ou DoH). Pour combler ce manque, l’Afnic a créé et met à disposition ces nouvelles contributions, illustrées d’exemples concrets et accessibles à tous. L’ensemble des personnes et organisations francophones qui le souhaitent peuvent ainsi approfondir leurs connaissances sur ce sujet.

Vous serez ainsi en mesure de tester la mise en œuvre d’un résolveur DoT ou DoH mais également de vérifier son bon fonctionnement au regard des standards grâce au logiciel libre développé par l’Afnic (RFC 7858 pour DoT et RFC 8484 pour DoH).

L’Afnic, attachée à sa mission de transfert d’expertise via le partage et la diffusion des connaissances, espère contribuer à une meilleure compréhension de ces évolutions et leur adoption par le plus grand nombre d’opérateurs de résolveurs, qui aujourd’hui représentent des acteurs importants pour la diversité et la résilience de l’internet.

Les ressources mises à disposition sont les suivantes :

• La vidéo du wébinaire

• Le tutoriel « Créez votre propre résolveur DoT/Dot » et disponible depuis le Gitlab d’Afnic Labs

• Le logiciel libre développé par l’Afnic permettant de tester la conformité par rapport aux standards, de l’implémentation de résolveurs DoT et DoH.

Nous remercions tout particulièrement Stéphane Bortzmeyer et Alexandre Pion pour l’ensemble de ces travaux.

— Permalien

Vous gérez un résolveur DNS qui promet de protéger la vie privée des utilisateurs et utilisatrices ? Alors, vous serez certainement intéressé par ce nouveau RFC qui rassemble les bonnes pratiques en matière de gestion d'un tel résolveur, et explique comment documenter la politique du résolveur, les choix effectués. On y trouve une bonne analyse des questions de sécurité, une discussion de ce qui doit être dans une politique, une analyse comparée des politiques, et même un exemple de politique.

Depuis la publication du RFC 7626, les risques pour la vie privée posés par l'utilisation du DNS sont bien connus. Par exemple, un de ces risques est que le trafic DNS entre une machine terminale et le résolveur est en clair et peut donc trivialement être écouté, ce qui est d'autant plus gênant que ce trafic inclut toutes les informations (il n'y a pas de minimisation possible de la question, par exemple). Un autre risque est que le gérant du résolveur voit forcément tout le trafic, même si on chiffre le trafic entre la machine terminale et lui. Il peut abuser de cette confiance qu'on lui fait. Une des solutions possibles face à ces risques est d'utiliser, non pas le résolveur annoncé par le réseau d'accès à l'Internet mais un résolveur extérieur, à qui vous faites confiance, et avec qui vous communiquez de manière chiffrée. De tels résolveurs existent. Certains sont publics (accessibles à tous), gérés par des GAFA comme Cloudflare (avec son résolveur 1.1.1.1) ou gérés par des associations ou bien des individus (vous trouverez une liste partielle à la fin du README de ce logiciel). D'autres de ces résolveurs sont réservés à tel ou tel groupe ou organisation.

Le problème pour l'utilisateur est celui du choix : lequel prendre ? Pour cela, il faut déjà que ceux et celles qui gèrent le résolveur aient documenté leurs pratiques et qu'on leur fasse confiance pour respecter leurs promesses. C'est l'un des buts de ce RFC : fournir un cadre général de description des pratiques d'un résolveur « vie privée », pour faciliter la tâche des rédacteurs et rédactrices de ces documents, dans l'esprit du RFC 6841, qui faisait la même chose pour DNSSEC. Notre RFC n'impose pas une politique particulière, il décrit juste les choix possibles, et ce qu'il ne faut pas oublier de mettre dans son RPS, son Recursive operator Privacy Statement.
— Permalien

Well, this is huge, so I'd like to draw your attention to what's happening right now. This is a very alarming case, and it concerns every ad blocker user.
— Permalien

Une question prioritaire de constitutionnalité doit être examinée mardi au sujet d’un article de la loi renseignement sur la surveillance électronique des personnes suspectées d’activités terroristes.
— Permalien

Mozilla OpenSSH secure guide. The goal of this document is to help operational teams with the configuration of OpenSSH server and client. All Mozilla sites and deployment should follow the recommendations below.
— Permalien