tout à fait.
Pas tout à fait, en fait le problème c’est que le DOH est utilisé par les logiciels malveillants. C’est là qu’est le problème.
Sur un DNS hors DOH, tu peux détecter ces logiciels malveillants, alors que tu ne le peux plus avec DOH
et alors on fait quoi?? c’est le serpent qui se mord la queue; on balance tout à la déchetterie et comme ça personne ne viendra plus nous pourrir la vie?
C’est aussi pour ça que beaucoup d’entreprise n’autorisent pas le DOH au sein de l’entreprise, c’est le cas de la mienne (partiellement).
non, il peut y avoir un contournement: mettre en place un DOH interne qui forwarde si nécessaire vers l’extérieur en DOH. Il est accessible que sur certificat reconnus (certificats internes. Ainsi les outils de sécurité comme les IDS peuvent ainsi scruter les requêtes du DNS et lever des alertes si nécessaires.
Pour le moment chez moi, j’ai paramétré mon Firefox pour utiliser des DOH, mais tous les autres systèmes (serveurs, applications serveurs) utilisent le DNS interne classique (avec DNSSEC tout de même).
Le tout en attendant que je migre mon DNS qui en Bind qui ne peut pas faire du DOH correctement ans la version déployée sur mon OPNSense.
@Zargos: tout ça c’est du chinois réservé aux pros mais pour le pékin de base dont je fais partie c’est totalement incompréhensible et c’est bien là tout le problème. Comment faire pour offrir à l’utilisateur moyen un système à peu près sûr? déjà passer à linux c’est un bon point (vs M$) mais pas suffisant. A décharge depuis 20 ans que j’utilise linux debian(stable et sid) je n’ai jamais été piraté et jamais eu de pbs et c’est déjà pas mal! Je fais tout ce qui peut être fait; mots de passe non recyclés avec 25 caractères minimum; ssh avec fail2ban mais quand on sait que certains sites stockent les mdp en clair …et qu’ils tournent sous la passoire M$…
J’ai mis qad9 comme DNS.
Le pékin de base n’utilise pas de DOH en fait parce qu’il ne sait pas ce que c’est 
piraté peut être pas mais compromis c’est possible, car tu n’en as pas forcément eu la visibilité. Et c’est justement tout le problème, du point de vue de la sécurité s’entend.
Quad9 n’est pas neutre. Ils font du filtrage judiciaire ou gouvernemental.
exact certaines de mes adresses courriels sont compromises, les sites les utilisant n’ayant pas fait ce qu’il faut pour protéger les données utilisateurs; je le sais parce que sur ces adresses je reçois des tentatives de hameconnage, ce fut la poubelle direct et changement de mot de passe.
Concernant quad9 ils ont au moins le mérite de maintenir à jour une liste longue comme le bras de sites vérolés et de prévenir du danger à les fréquenter.
@Zargos Oui, quad9 est juste un résolveur menteur comme d’autres
DoH n’est pas le problème. Le problème, c’est un DoH non maîtrisé. comme par exemple le cocher le DoH Firefox (désactivé sur mes 7 instances)
Dans mon implémentation c’est l’inverse :
- Serveur DoH local, directement sur la bécane
- Logs, filtrage, alertes via Pi-hole
- Sortie en DoH via dnscrypt-proxy vers des résolveurs choisis
- Pas de fuite possible vers des DoH publics (Google, Cloudflare…) → bloqués
Donc :
Confidentialité vers l’extérieur
Contrôle en local
Stack publique, documentée, modifiable
Le problème, ce n’est pas le chiffrement. C’est de ne pas savoir à qui on le confie.
J’ai pas désactivé DoH dans mon réseau… j’ai absorbé mon réseau dans mon DoH
Cela dit, j’ai mis les liens pour analyse, test et cassage !
Tout à fait.
tout ça reste du chinois pour l’utilisateur non professionnel, alors si pas qad9 quel autre de confiance paramétrer dans firefox parce que c’est ça qui m’interesse?
Eh bien, si ça t’intéresse, as-tu visité les tutos que je me suis donné le mal de rédiger et entretenir ?