Clarifications sur les méthodes du DNS alternatif

5 replies [Last post]
Substance2004
Offline
Joined: 11/05/2013

Salut,

Je suis la conversation lancée par martinh à propos des serveurs DNS sur le forum anglais.
https://trisquel.info/en/forum/libre-uncensored-dns-providers

Clairement, martinh ne veut plus être pisté par son FAI.

La solution pour éviter d'être enregistré au niveau de mes requètes DNS serait d'installer Bind9 comme le préconise jxself.

J'ai eu ensuite plus de mal à suivre la conversation.

J'avais entendu parler de dnscrypt pour éviter ce genre de choses. Je l'ai proposé sur le post en question.
https://dnscrypt.info/
GitHub m'informe qu'il est en licence MIT.

J'ai un peu de mal à conceptualiser bind9 avec ce que je sais du principe d'une requête DNS (c-à-d le minimum syndical) quand je demande à aller sur trisquel.info (par exemple) et ce qui se passe après, c'est à dire le certificat et l'accès au site.

Son paramétrage semble assez compliqué.

Mais en allant plus loin sur bind9, j'ai lu que cela nécessiterait d'avoir un ordinateur ouvert 24h/7j.
C'est juste pas possible pour ma part :
https://trisquel.info/en/forum/dns-servers-completely-free#comment-90955

J'imagine que si Magic le dit, c'est que c'est pas faux.

On a aussi suggéré OpenNIC qui propose visiblement des serveurs DNS alternatifs un peu partout.
https://www.opennic.org/

DNSCrypt propose une liste des serveurs en DNS C dont voici la carte :
https://dnscrypt.info/map

Est-ce que les serveurs DNS proposés par opennic peuvent être remplacé par ceux proposé par ceux de dnscrypt sachant que les échanges sont chiffrés ?

Merci

Sasaki
Offline
Joined: 08/11/2014

Premier élément de réponse sous la forme d'une citation de jxself :

""TO BE A dns provider requires a machine dedicated for that service
Why you, should want to host a server for that purpose,?"

Maybe if you're running something as a public service but for someone's own personal DNS resolution this is totally not needed. The method I proposed would work perfectly fine for that use case."

Il est effectivement nécéssaire d'avoir un serveur pour un usage public, pour un usage uniquement privé installer bind9 sur sa machine suffit très bien.

J'ai tendance à penser que le problème peut-être légèrement contourné en s'intéressant directement à son FAI. Utiliser les services d'un FAI membre de la FDN https://www.fdn.fr/ permet déjà d'avoir un meilleur rapport de confiance et un bon accès à ses données personnelles. Certaines assos membres fournissent une IP fixe, ce qui influe sur la façon de gérer les requêtes DNS.
Comme le fait remarquer jxself sur le sujet anglais, si les requêtes DNS ne sont pas chiffrées, le FAI les aura quand même quel que soit le service utilisé.

Ker Tris
Offline
Joined: 05/27/2016

Salut !
Sasaki pensait certainement "Utiliser les services d'un FAI membre de la FFDN https://www.ffdn.org/ permet déjà d'avoir un meilleur rapport de confiance et un bon accès à ses données personnelles."

Substance2004
Offline
Joined: 11/05/2013

Merci pour vos contributions.

Si je m'en tiens aux remarques de jxself que rapporte sasaki, comme DNScrypt permet de chiffrer les requêtes avec des DNS C, mieux vaut alors utiliser DNScrypt...

J'ai remarqué qu'existe pas mal de fourchettes de DNScrypt-proxy.
Je me suis volontairement arrêté sur celui de Dyne https://www.dyne.org/
car ils ont de bons projets en matière de sécurité comme Tomb et produisent du code libre.

On peut consulter les serveurs DNS C sur dnscrypt-resolvers.csv
https://github.com/dyne/dnscrypt-proxy/blob/master/dnscrypt-resolvers.csv

Je me demandais si d'autres serveurs étaient disponibles hors cette liste.

Sasaki
Offline
Joined: 08/11/2014

Tout à fait !
Je me suis trompé alors même que j'avais passé cinq minutes à chercher la bonne adresse !
Merci et dommage qu'on ne puisse éditer les messages.

Fédération French Data Network sur
https://www.ffdn.org/

Ker Tris
Offline
Joined: 05/27/2016

Ça arrive, faut dire que c'est ressemblant ! ;)