[grnog] The new DNS (DoT/DoH)
Dimitris Kalogeras
D.Kalogeras at noc.ntua.gr
Wed Sep 18 10:32:22 CEST 2019
Στις 2019-09-18 10:38, Antonios Chariton (daknob) έγραψε:
> Καλημέρα σας,
> Στέλνω εδώ αυτήν την ενδιαφέρουσα
> παρουσίαση: https://www.youtube.com/watch?v=pjin3nv8jAo
> από το NLNOG, πάνω στο “νέο” DNS, και πιο
> συγκεκριμένα το DNS over TLS (DoT), και DNS over
> HTTPS (DoH). Πιστεύω θα ήταν ενδιαφέρον να
> δούμε κατά πόσο οι resolvers των ελληνικών
> παρόχων είναι έτοιμοι και το
> υποστηρίζουν. Τους επόμενους μήνες
> (και ήδη γίνεται από κάποιους), οι
> συσκευές (Firefox, Chrome, Android, …) θα ελέγχουν
> για υποστήριξη DoT στον DHCP / ISP resolver, και
> εφ’ όσων δεν υπάρχει, θα
> χρησιμοποιούν αποκλειστικά τους 1.1.1.1 /
> 8.8.8.8. Ίσως θα ήταν μια καλή στιγμή, να
> αρχίσει να σχεδιάζεται κάποιο roll out,
> για να μην στέλνονται όλα τα DNS queries σε
> εταιρίες στις ΗΠΑ.. :-)
>
Εναλλακτικά από το blog της mozzila ...
https://support.mozilla.org/en-US/kb/configuring-networks-disable-dns-over-https
Network administrators may configure their networks as follows to
signal that their local DNS resolver implemented special features that
make the network unsuitable for DoH:
DNS queries for the A and AAAA records for the domain
"use-application-dns.net" must respond with NXDOMAIN rather than the IP
address retrieved from the authoritative nameserver.
Διαβάστε όλο το κείμενο στο :
Αρα μπορείς κάποιος να χρησιμοποιήσει το use-application-dns.net να
απαντάει NXDOMAIN εάν χρειάζεται κάποιος να "χειρίζεται"
το DoH.
Χαιρετισμούς
Δημήτρης
> Προσωπικά κατάφερα να μετατρέψω
> σχετικά εύκολα τους δικούς μου resolvers
> σε DoT, βάζοντας μπροστά το DNSDist, απλά
> δεν μπόρεσα να εκδόσω TLS Certificate για
> αυτούς, καθώς για να εκδοθεί για IP Address
> πρέπει να είναι Organization Validation (OV), το
> οποίο μπορεί να εκδοθεί μόνο σε
> στοιχεία οργανισμού, και όχι φυσικού
> προσώπου. Οπότε χρησιμοποιώ ένα με domain
> name, το οποίο προς το παρόν φαίνεται να
> δέχονται οι συσκευές.
> Για το DoH δεν έχω ασχοληθεί ακόμη, αλλά
> θα είναι φαντάζομαι επίσης κάτι
> αντίστοιχο. Όσον αφορά τα TLS Session IDs που
> μειώνουν το latency, λόγω χαμηλού latency στο
> δίκτυο δεν παρατήρησα διαφορά, είτε με
> αυτά ενεργά, είτε με αυτά ανενεργά,
> αλλά φαντάζομαι σε έναν ISP που μπορεί
> να έχει 10-20 ms από κάποιες συνδέσεις με
> τους DNS του θα είναι ίσως απαραίτητα.
>
> Υπάρχει κάποιος DNS resolver αυτήν την
> στιγμή που να υποστηρίζει ήδη τα
> παραπάνω πρωτόκολλα; Θα ήταν
> ενδιαφέρον να δούμε ίσως το πως
> υλοποιήθηκε εκεί, είτε σε αυτό το thread,
> είτε ως παρουσίαση στο επόμενο GRNOG :-)
>
> Αντώνης
--
Χαιρετισμούς,
Δημήτρης Καλογεράς
Ερευνητής Β' ΕΠΙΣΕΥ
--
Dimitrios K. Kalogeras
Electrical Engineer Ph.D.
Network Engineer
NTUA/ICCS
_____________________________________
skype: aweboy
voice: +30-210-772 1863
fax: +30-210-772 1866
More information about the grnog-members
mailing list