<html>

  <head>

    <meta http-equiv="Content-Type" content="text/html; charset=UTF-8">

  </head>

  <body>

    <div class="moz-cite-prefix">ΣΤο παρακάτω draft παρουσιάζονται

      αναλυτικά οι (περισσότερες) συνέπειες για τα operator networks.</div>

    <blockquote>

      <div class="moz-cite-prefix"><a class="moz-txt-link-freetext" href="https://tools.ietf.org/html/draft-reid-doh-operator-00">https://tools.ietf.org/html/draft-reid-doh-operator-00</a></div>

    </blockquote>

    <div class="moz-cite-prefix">Αν ενδιαφέρεστε για το πως βλέπει το

      θέμα o  Paul Vixie (φαντάζομαι τον ξέρετε)</div>

    <blockquote>

      <div class="moz-cite-prefix"><a class="moz-txt-link-freetext" href="https://www.icann.org/sites/default/files/packages/ids-2019/09-vixie-2019-05-benefits-and-hazards-of-non-local-dns-11may19-en.pdf">https://www.icann.org/sites/default/files/packages/ids-2019/09-vixie-2019-05-benefits-and-hazards-of-non-local-dns-11may19-en.pdf</a></div>

      <div class="moz-cite-prefix"><a class="moz-txt-link-freetext" href="https://mailarchive.ietf.org/arch/msg/dnsop/6M0aDlmv9iUaKX_8tI_jZW1-roo">https://mailarchive.ietf.org/arch/msg/dnsop/6M0aDlmv9iUaKX_8tI_jZW1-roo</a></div>

      <div class="moz-cite-prefix"><br>

      </div>

    </blockquote>

    <div class="moz-cite-prefix">Και αν θέλετε και μια πιο ουδέτερη

      άποψη, διαβάστε το</div>

    <blockquote>

      <div class="moz-cite-prefix"><a class="moz-txt-link-freetext" href="http://www.circleid.com/posts/20190723_recalibrating_the_doh_debate">http://www.circleid.com/posts/20190723_recalibrating_the_doh_debate</a></div>

    </blockquote>

    <div class="moz-cite-prefix"><br>

    </div>

    <div class="moz-cite-prefix">Συνοπτικά, η άποψή μου είναι ότι το

      θέμα είναι περισσότερο πολιτικό παρά τεχνικό. Και όπως λέει και o

      Vixie, το αποτέλεσμα μπορεί να είναι είναι το εντελώς αντίθετο απο

      τις (δημόσια αναφερόμενες) προθέσεις αυτών που "σπρώχνουν" το DoH.</div>

    <div class="moz-cite-prefix"><br>

    </div>

    <div class="moz-cite-prefix">Σε ενα working group της DT που

      συμμετέχω, εχουμε προτείνει να προστεθεί κάποιος μηχανισμός που θα

      ελέγχει αν ο provider-supplied DNS υποστηρίζει DoH (or DoT) και

      τότε να χρησιμοποιεί αυτόν πριν πάει σε άλλα options που κάνουn

      break διάφορα πράγματα. <br>

    </div>

    <div class="moz-cite-prefix"><br>

    </div>

    <div class="moz-cite-prefix">Αυτή τη στιγμή, το Mozilla δεν κάνει

      αυτό που λέει ο Αντώνης (έχει μόνο αυτό το "binary" on/off που

      εστειλε ο Δημήτρης, που μάλλον το πρόσθεσαν πρόσφατα μετά την

      κατακραυγή που φάγανε:

      <a class="moz-txt-link-freetext" href="https://itsfoss.com/mozilla-internet-villain/">https://itsfoss.com/mozilla-internet-villain/</a>), ενώ το Chrome

      κανει κατι κοντά σε αυτό που θέλουμε (αν και αυτό μπορεί να

      αλλάξει silently με κάποιο update). <br>

    </div>

    <div class="moz-cite-prefix"><br>

    </div>

    <div class="moz-cite-prefix">Επίσης, με το DoH η αλλαγή δεν

      περιορίζεται μόνο στους browers: Οποιοδηποτε  application (πχ το

      facebook, τα web banking apps κλπ) μπορεί να χρησιμοποιεί τον DNS

      που γουστάρει, το οποίο ανάλογα με την περιπτωση μπορεί να είναι

      θετικό ή αρνητικό.<br>

    </div>

    <div class="moz-cite-prefix"><br>

    </div>

    <div class="moz-cite-prefix"><br>

    </div>

    <div class="moz-cite-prefix">On 9/18/19 11:32 AM, Dimitris Kalogeras

      wrote:<br>

    </div>

    <blockquote type="cite"

      cite="mid:d6be69092bcb41459608c46b3fb6cf7d@noc.ntua.gr">

      <pre class="moz-quote-pre" wrap="">Στις 2019-09-18 10:38, Antonios Chariton (daknob) έγραψε:

</pre>

      <blockquote type="cite">

        <pre class="moz-quote-pre" wrap="">Καλημέρα σας,

Στέλνω εδώ αυτήν την ενδιαφέρουσα

παρουσίαση: <a class="moz-txt-link-freetext" href="https://www.youtube.com/watch?v=pjin3nv8jAo">https://www.youtube.com/watch?v=pjin3nv8jAo</a>

από το NLNOG, πάνω στο “νέο” DNS, και πιο

συγκεκριμένα το DNS over TLS (DoT), και DNS over

HTTPS (DoH). Πιστεύω θα ήταν ενδιαφέρον να

δούμε κατά πόσο οι resolvers των ελληνικών

παρόχων είναι έτοιμοι και το

υποστηρίζουν. Τους επόμενους μήνες

(και ήδη γίνεται από κάποιους), οι

συσκευές (Firefox, Chrome, Android, …) θα ελέγχουν

για υποστήριξη DoT στον DHCP / ISP resolver, και

εφ’ όσων δεν υπάρχει, θα

χρησιμοποιούν αποκλειστικά τους 1.1.1.1 /

8.8.8.8. Ίσως θα ήταν μια καλή στιγμή, να

αρχίσει να σχεδιάζεται κάποιο roll out,

για να μην στέλνονται όλα τα DNS queries σε

εταιρίες στις ΗΠΑ.. :-)

</pre>

      </blockquote>

      <pre class="moz-quote-pre" wrap="">

Εναλλακτικά από το blog της mozzila ... 

<a class="moz-txt-link-freetext" href="https://support.mozilla.org/en-US/kb/configuring-networks-disable-dns-over-https">https://support.mozilla.org/en-US/kb/configuring-networks-disable-dns-over-https</a>

  Network administrators may configure their networks as follows to 

signal that their local DNS resolver implemented special features that 

make the network unsuitable for DoH:

DNS queries for the A and AAAA records for the domain 

"use-application-dns.net" must respond with NXDOMAIN rather than the IP 

address retrieved from the authoritative nameserver.

Διαβάστε όλο το κείμενο στο :

Αρα μπορείς κάποιος να χρησιμοποιήσει το use-application-dns.net να 

απαντάει NXDOMAIN εάν χρειάζεται κάποιος να "χειρίζεται"

το DoH.

Χαιρετισμούς

Δημήτρης

</pre>

      <blockquote type="cite">

        <pre class="moz-quote-pre" wrap="">Προσωπικά κατάφερα να μετατρέψω

σχετικά εύκολα τους δικούς μου resolvers

σε DoT, βάζοντας μπροστά το DNSDist, απλά

δεν μπόρεσα να εκδόσω TLS Certificate για

αυτούς, καθώς για να εκδοθεί για IP Address

πρέπει να είναι Organization Validation (OV), το

οποίο μπορεί να εκδοθεί μόνο σε

στοιχεία οργανισμού, και όχι φυσικού

προσώπου. Οπότε χρησιμοποιώ ένα με domain

name, το οποίο προς το παρόν φαίνεται να

δέχονται οι συσκευές.

Για το DoH δεν έχω ασχοληθεί ακόμη, αλλά

θα είναι φαντάζομαι επίσης κάτι

αντίστοιχο. Όσον αφορά τα TLS Session IDs που

μειώνουν το latency, λόγω χαμηλού latency στο

δίκτυο δεν παρατήρησα διαφορά, είτε με

αυτά ενεργά, είτε με αυτά ανενεργά,

αλλά φαντάζομαι σε έναν ISP που μπορεί

να έχει 10-20 ms από κάποιες συνδέσεις με

τους DNS του θα είναι ίσως απαραίτητα.

Υπάρχει κάποιος DNS resolver αυτήν την

στιγμή που να υποστηρίζει ήδη τα

παραπάνω πρωτόκολλα; Θα ήταν

ενδιαφέρον να δούμε ίσως το πως

υλοποιήθηκε εκεί, είτε σε αυτό το thread,

είτε ως παρουσίαση στο επόμενο GRNOG :-)

Αντώνης

</pre>

      </blockquote>

      <pre class="moz-quote-pre" wrap="">

</pre>

    </blockquote>

    <p><br>

    </p>

    <pre class="moz-signature" cols="78">-- 

Achilles P. Voliotis                          Phone:  +30-210-{6335738,6116295}

OTE Hellenic Communications Organization      Mobile: +30-6977711013

Deputy director Fixed/Mobile Engineering      e-mail: <a class="moz-txt-link-abbreviated" href="mailto:achilles@otenet.gr">achilles@otenet.gr</a>

</pre>

  </body>

</html>