DoH && DoT

Experiementation avec DNS over HTTPS et DNS over TLS cette semaine. DoH est maintenant supporte par Firefox, et les prochaines version vont l'activer par default, du moins c'est ce qui avait ete annonce, jusqu'a ce que ca creer un faux scandale au UK (https://www.theregister.co.uk/2019/09/24/mozilla_backtracks_doh_for_uk_users/). L'avantage du support directement dans le browser viens du fait qu'il possede son propre client DNS, ce qui permet de ne pas utiliser le resolver systeme. Donc si votre destination utilise HTTPS, c'est tres dur de pouvoir vous espionnez, car l'espion peux seulement voir l'IP du destinataire.

Pour DoT, c'est un peu plus complique, et ce tout dependant du OS, et meme de la distribution Linux. La solution la plus facile, du moins pour l'instant, c'est l'utilisation de `stubby`.

apt show stubby
Description: modern asynchronous DNS API (stub resolver)
 getdns is a modern asynchronous DNS API.  It implements DNS entry
 points from a design developed and vetted by application developers,
 in an API specification edited by Paul Hoffman.  This API intends to
 offer application developers a modernized and flexible way to access
 DNS security (DNSSEC) and other powerful new DNS features; a
 particular hope is to inspire application developers towards
 innovative security solutions in their applications.

Par la suite vous modifier votre /etc/resolv.conf (probablement manager par network-manager) pour utiliser 127.0.0.1 comme serveur.

cat /etc/resolv.conf 
# Generated by NetworkManager
nameserver 127.0.0.1

J'utilise les serveurs de Cloudflare comme sources DNS:

  - address_data: 1.1.1.1
    tls_auth_name: "cloudflare-dns.com"
  - address_data: 1.0.0.1
    tls_auth_name: "cloudflare-dns.com"

Voila, vos requetes DNS sont maintenant encryptes.