Connexion serveurs DNS non chiffrées

Bonjour cette un fonction facultative. Et ce n'est pas une si grande faiblesse de sécurité. Vous pouvez régler les paramètres dns sur votre iphone. Ce message fait certainement suite a une mise à jour d'ios sur votre téléphone.

Bonjour @fm1956 ,

DoH est relativement récent et n'est encore implémenté partout.

Ce sont particulièrement les navigateurs qui commencent à l'utiliser.

Ci dessous une série d'articles concernant DoH

--> https://www.nextinpact.com/article/30100/108780-quest-ce-que-dns-over-https-doh-quest-ce-que-cela-pe...

C'est une mine d'informations (je n'ai pas tout lu)

Bonjour @fm1956 

---

Lorsque je suis connecté avec mon iPhone sur le Wifi de ma Box j'ai une notification, au niveau du Wifi de mon iPhone, qui m'indique le refus de SFR de chiffrer le traffic DNS, ce qui constitue une faiblesse de sécurité.

---

Quelle box SFR as-tu ?

Car, c'est marrant, mais moi aussi depuis que mon iPhone me signalait ça, je regrettais que ma vénérable Box THD 4K ne semble pas compatible avec cette  récente mode du DNS chiffrée, après qu'au moins 3 autres "modes" de DNS chiffrés soit apparus depuis ces dernières années puis disparus presque aussi vite, apparemment DNS over Https (DoH) semble moins laissé de côté et tiendrait la corde (mais utilisé essentiellement dans les navigateurs web pour l'instant comme le signale @TagadaTsoinTsoin , le reste de ton ordinateur peut perdurer en non chiffré)...

Mais désormais mon iPhone ne me signale plus cette "faiblesse". Les seules choses que j'aie modifiées sont :

1. j'ai eu quelques mises à jour Apple => iPhone désormais en iOS 15.1
2. j'ai modifié les réglages de ma box pour virer la sécurité Wi-FI TKIP et autorisé uniquement le WPA2-PSK (ce qui constituait une autre "faiblesse" de mon Wi-FI que signalait l'iPhone).

Depuis, mais étonnamment l'iPhone ne me signale plus que le DNS chiffré sur HttP est filtré par ma box.

Je n'ai pas eu la curiosité de faire un test pour voir si désormais ça passait... Si certains savent où/comment faire un tel test en qq clics, je suis curieux et preneur.

À+

P.S. Je viens

• de lire l'article https://www.nextinpact.com/article/30100/108780-quest-ce-que-dns-over-https-doh-quest-ce-que-cela-pe...
• et faire leur test de requête chiffrée : https://dns.quad9.net:5053/dns-query?name=www.gouvernement.fr

Apparemment je reçois bien une réponse, et non vide, ce qui laisse augurer qu'en effet si mon iPhone ne m'alerte plus c'est bien parce que désormais les requêtes DNS chiffrées ne seraient plus bloquées par ma box ? Bonne nouvelle...

Hello @TagadaTsoinTsoin 

---

"l'iPhone ne me signale plus que le DNS chiffré sur HttP est filtré par ma box"

 

Le DNS chiffré sur Http (DoH) passe par le port standard https (port 443) donc si la box filtrait ce port 443 tu ne pourrais pas accéder à grand chose sur internet.

Tu avais peut-être le message DoH insuffisamment sécurisé parce https ne l'était pas à cause du WiFi resté en WPA.

---

Peut-être mais ce n'est pas ce qui était écrit qui parlait bien de "blocage" :  j'avais (et je n'ai plus) ce message vraiment explicite de l'iPhone considérant un "blocage du DNS chiffré". Voir capture similaire ici : https://lafibre.info/sfr-installation/sfr-box-8-bloque-dns-chiffre/

Et désormais (après mes manips secondaires) je ne l'ai plus... mystère.

---

DNS over TLS (DoT) par contre utilise un port différent (port 853)

---

D'après l'article que je citais, DoT faisait partie des initiatives du passé qui n'ont pas pris... Je pensais donc qu'il n'était même pas envisagé par cette récente alerte de l'iPhone.

À+

Complément :

Le modèle de ma box est NB6VAC-FXC-r0.

Le message concernant le non chiffrement vers les serveurs DNS apparaît sur le 11 pro max de ma compagne mais pas sur le mien 11 pro. Nos appareils sont mis à jour avec la dernière version et je n'ai pas identifié de configuration différente sur la connexion réseau entre les deux.

Cela rajoute au mystère 

J'ai fais ça aussi pour les mêmes raisons

Et si ça n'avait rien à voir avec DoH ou DoT mais DNSSEC.

Je ne sais pas du tout comment ça fonctionne, tout ce qui est chiffrage me donne mal à la tête.

Hello @TagadaTsoinTsoin 

---

@TagadaTsoinTsoin  a écrit :

Et si ça n'avait rien à voir avec DoH ou DoT mais DNSSEC.

 

Je ne sais pas du tout comment ça fonctionne, tout ce qui est chiffrage me donne mal à la tête.

---

Ma foi, possible, honnêtement toutes ces variantes pour faire du DNS chiffré ne sont pas du tout un domaine que j'ai creusé.

Mais dans l'article que je citais (ICI) ils mettent DNSSEC du même côté que DoT : celle des solutions antérieures qui n'ont pas trouvé le succès contrairement à DoH :

• « Ces dernières années, de multiples initiatives ont été lancées pour renforcer la sécurité de cette brique essentielle. Il y a bien entendu DNSSEC [...] sa mise en place reste minoritaire.
  Depuis, d'autres initiatives ont vu le jour, comme DNSCrypt, GNUnet, DNS over TLS (DoT), etc. Mais aucune n'a été largement implémentée.
  C'est là qu'intervient DNS over HTTPS (DoH), qui semble désormais faire consensus. »

Je n'en sais pas plus.

À+