[grnog] The new DNS (DoT/DoH)
Yannis Nikolopoulos
yanodd at otenet.gr
Wed Sep 18 12:23:26 CEST 2019
https://tools.ietf.org/html/draft-doh-reid-operator-00
(excuse my brevity)
On 9/18/19 11:41 AM, Antonios Chariton (daknob) wrote:
> Σωστά, ναι, υπάρχει αυτή η δυνατότητα, αλλά δεν γνωρίζουμε για πόσο θα
> υπάρχει ακόμη, αν θα τηρηθεί και από άλλους εκτός του Firefox και της
> Mozilla γενικότερα, κτλπ. Αν οι operators συνεχίσουν να προσφέρουν
> plaintext DNS, τότε οι browsers θα έχουν το δικαίωμα μετά να το
> αγνοήσουν, για να προστατεύσουν τους χρήστες τους.. Και αν δεν το
> κάνουν “αυταρχικά” και μια μέρα σταματήσουν να το κοιτάνε αυτό το DNS
> record, μπορεί να εμφανίσουν ένα pop up: “Ο πάροχος Ίντερνετ σου δεν
> είναι ασφαλής, θέλεις να χρησιμοποιήσουμε έναν ασφαλή πάροχο;” με ένα
> τεράστιο πράσινο κουμπί “ΟΚ”, και ένα κρυμμένο πίσω από 4 άλλα
> κουμπιά, με μικρά κίτρινα γράμματα σε άσπρο φόντο κουμπί που να λέει
> “Όχι”.
>
> Προσωπικά αυτήν την επιλογή θα την έβλεπα ως κάτι προσωρινό, που δεν
> θα κρατήσει πολύ, και αυτό αν και άλλοι πέραν της mozilla το
> εφαρμόσουν.. Ως μακροχρόνια λύση θα έβλεπα πως είτε θα πρέπει να κάνω
> την κίνηση αυτή και να υποστηρίξω DoT, είτε να αποδεχθώ πως σε 1-2-3
> χρόνια δεν θα δέχομαι πλέον τα DNS queries των χρηστών, και δεν θα
> μπορώ να παραπονεθώ και γι’ αυτό.
>
> Νομίζω είναι κάτι αντίστοιχο με το HTTPS. Κάποιοι δεν το ήθελαν,
> έστηναν proxies για να το ξεπεράσουν, κτλπ κτλπ, self-signed root CAs,
> … και εν τέλη απλά αυτό δεν μπόρεσε να αντέξει στον χρόνο.. Με
> κλασσικό παράδειγμα εταιρείες που προσπάθησαν σκόπιμα να αδυναμώσουν
> το TLSv1.3, γιατί ήταν τόσο ασφαλές που δεν θα δούλευαν σε αυτό τα
> MitM boxes τους.. :-)
>
> Αντώνης
>
>> On 18 Sep 2019, at 11:32, Dimitris Kalogeras <D.Kalogeras at noc.ntua.gr
>> <mailto:D.Kalogeras at noc.ntua.gr>> wrote:
>> Εναλλακτικά από το blog της mozzila
>> ...https://support.mozilla.org/en-US/kb/configuring-networks-disable-dns-over-https
>> Network administrators may configure their networks as follows to
>> signal that their local DNS resolver implemented special features
>> that make the network unsuitable for DoH:
>>
>> DNS queries for the A and AAAA records for the domain
>> "use-application-dns.net <http://use-application-dns.net/>" must
>> respond with NXDOMAIN rather than the IP address retrieved from the
>> authoritative nameserver.
>>
>> Διαβάστε όλο το κείμενο στο :
>>
>> Αρα μπορείς κάποιος να χρησιμοποιήσει τοuse-application-dns.net
>> <http://use-application-dns.net/>να απαντάει NXDOMAIN εάν χρειάζεται
>> κάποιος να "χειρίζεται"
>> το DoH.
>>
>> Χαιρετισμούς
>> Δημήτρης
>>
>>
>> Χαιρετισμούς,
>>
>> Δημήτρης Καλογεράς
>> Ερευνητής Β' ΕΠΙΣΕΥ
>>
>> --
>> Dimitrios K. Kalogeras
>>
>> Electrical Engineer Ph.D.
>> Network Engineer
>> NTUA/ICCS
>> _____________________________________
>> skype: aweboy
>> voice: +30-210-772 1863
>> fax: +30-210-772 1866
>
--
Yannis Nikolopoulos OTE S.A
e-mail: yanodd at otenet.gr IP Network Planning & Engineering
tel: +302106116293
----------------------------------------------------------------------------
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://nogalliance.org/pipermail/grnog-members/attachments/20190918/98380e6f/attachment.html>
More information about the grnog-members
mailing list