[grnog] The new DNS (DoT/DoH)
Antonios Chariton (daknob)
daknob at daknob.net
Wed Sep 18 09:38:16 CEST 2019
Καλημέρα σας,
Στέλνω εδώ αυτήν την ενδιαφέρουσα παρουσίαση: https://www.youtube.com/watch?v=pjin3nv8jAo <https://www.youtube.com/watch?v=pjin3nv8jAo> από το NLNOG, πάνω στο “νέο” DNS, και πιο συγκεκριμένα το DNS over TLS (DoT), και DNS over HTTPS (DoH). Πιστεύω θα ήταν ενδιαφέρον να δούμε κατά πόσο οι resolvers των ελληνικών παρόχων είναι έτοιμοι και το υποστηρίζουν. Τους επόμενους μήνες (και ήδη γίνεται από κάποιους), οι συσκευές (Firefox, Chrome, Android, …) θα ελέγχουν για υποστήριξη DoT στον DHCP / ISP resolver, και εφ’ όσων δεν υπάρχει, θα χρησιμοποιούν αποκλειστικά τους 1.1.1.1 / 8.8.8.8. Ίσως θα ήταν μια καλή στιγμή, να αρχίσει να σχεδιάζεται κάποιο roll out, για να μην στέλνονται όλα τα DNS queries σε εταιρίες στις ΗΠΑ.. :-)
Προσωπικά κατάφερα να μετατρέψω σχετικά εύκολα τους δικούς μου resolvers σε DoT, βάζοντας μπροστά το DNSDist, απλά δεν μπόρεσα να εκδόσω TLS Certificate για αυτούς, καθώς για να εκδοθεί για IP Address πρέπει να είναι Organization Validation (OV), το οποίο μπορεί να εκδοθεί μόνο σε στοιχεία οργανισμού, και όχι φυσικού προσώπου. Οπότε χρησιμοποιώ ένα με domain name, το οποίο προς το παρόν φαίνεται να δέχονται οι συσκευές.
Για το DoH δεν έχω ασχοληθεί ακόμη, αλλά θα είναι φαντάζομαι επίσης κάτι αντίστοιχο. Όσον αφορά τα TLS Session IDs που μειώνουν το latency, λόγω χαμηλού latency στο δίκτυο δεν παρατήρησα διαφορά, είτε με αυτά ενεργά, είτε με αυτά ανενεργά, αλλά φαντάζομαι σε έναν ISP που μπορεί να έχει 10-20 ms από κάποιες συνδέσεις με τους DNS του θα είναι ίσως απαραίτητα.
Υπάρχει κάποιος DNS resolver αυτήν την στιγμή που να υποστηρίζει ήδη τα παραπάνω πρωτόκολλα; Θα ήταν ενδιαφέρον να δούμε ίσως το πως υλοποιήθηκε εκεί, είτε σε αυτό το thread, είτε ως παρουσίαση στο επόμενο GRNOG :-)
Αντώνης
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://nogalliance.org/pipermail/grnog-members/attachments/20190918/bc0e4598/attachment.html>
More information about the grnog-members
mailing list