[grnog] The new DNS (DoT/DoH)
Antonios Chariton (daknob)
daknob at daknob.net
Wed Sep 18 10:41:07 CEST 2019
Σωστά, ναι, υπάρχει αυτή η δυνατότητα, αλλά δεν γνωρίζουμε για πόσο θα υπάρχει ακόμη, αν θα τηρηθεί και από άλλους εκτός του Firefox και της Mozilla γενικότερα, κτλπ. Αν οι operators συνεχίσουν να προσφέρουν plaintext DNS, τότε οι browsers θα έχουν το δικαίωμα μετά να το αγνοήσουν, για να προστατεύσουν τους χρήστες τους.. Και αν δεν το κάνουν “αυταρχικά” και μια μέρα σταματήσουν να το κοιτάνε αυτό το DNS record, μπορεί να εμφανίσουν ένα pop up: “Ο πάροχος Ίντερνετ σου δεν είναι ασφαλής, θέλεις να χρησιμοποιήσουμε έναν ασφαλή πάροχο;” με ένα τεράστιο πράσινο κουμπί “ΟΚ”, και ένα κρυμμένο πίσω από 4 άλλα κουμπιά, με μικρά κίτρινα γράμματα σε άσπρο φόντο κουμπί που να λέει “Όχι”.
Προσωπικά αυτήν την επιλογή θα την έβλεπα ως κάτι προσωρινό, που δεν θα κρατήσει πολύ, και αυτό αν και άλλοι πέραν της mozilla το εφαρμόσουν.. Ως μακροχρόνια λύση θα έβλεπα πως είτε θα πρέπει να κάνω την κίνηση αυτή και να υποστηρίξω DoT, είτε να αποδεχθώ πως σε 1-2-3 χρόνια δεν θα δέχομαι πλέον τα DNS queries των χρηστών, και δεν θα μπορώ να παραπονεθώ και γι’ αυτό.
Νομίζω είναι κάτι αντίστοιχο με το HTTPS. Κάποιοι δεν το ήθελαν, έστηναν proxies για να το ξεπεράσουν, κτλπ κτλπ, self-signed root CAs, … και εν τέλη απλά αυτό δεν μπόρεσε να αντέξει στον χρόνο.. Με κλασσικό παράδειγμα εταιρείες που προσπάθησαν σκόπιμα να αδυναμώσουν το TLSv1.3, γιατί ήταν τόσο ασφαλές που δεν θα δούλευαν σε αυτό τα MitM boxes τους.. :-)
Αντώνης
> On 18 Sep 2019, at 11:32, Dimitris Kalogeras <D.Kalogeras at noc.ntua.gr> wrote:
> Εναλλακτικά από το blog της mozzila ... https://support.mozilla.org/en-US/kb/configuring-networks-disable-dns-over-https <https://support.mozilla.org/en-US/kb/configuring-networks-disable-dns-over-https>
> Network administrators may configure their networks as follows to signal that their local DNS resolver implemented special features that make the network unsuitable for DoH:
>
> DNS queries for the A and AAAA records for the domain "use-application-dns.net <http://use-application-dns.net/>" must respond with NXDOMAIN rather than the IP address retrieved from the authoritative nameserver.
>
> Διαβάστε όλο το κείμενο στο :
>
> Αρα μπορείς κάποιος να χρησιμοποιήσει το use-application-dns.net <http://use-application-dns.net/> να απαντάει NXDOMAIN εάν χρειάζεται κάποιος να "χειρίζεται"
> το DoH.
>
> Χαιρετισμούς
> Δημήτρης
>
>
> Χαιρετισμούς,
>
> Δημήτρης Καλογεράς
> Ερευνητής Β' ΕΠΙΣΕΥ
>
> --
> Dimitrios K. Kalogeras
>
> Electrical Engineer Ph.D.
> Network Engineer
> NTUA/ICCS
> _____________________________________
> skype: aweboy
> voice: +30-210-772 1863
> fax: +30-210-772 1866
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://nogalliance.org/pipermail/grnog-members/attachments/20190918/9eb0104b/attachment.html>
More information about the grnog-members
mailing list