Pour faire suite au wébinaire "Comment créer et tester votre résolveur DNS sur TLS et DNS sur HTTPS (DoT/DoH)", l’Afnic publie les ressources présentées à cette occasion, en association avec son Conseil scientifique.
Le DNS est utilisé dans la quasi-totalité des échanges sur internet (accès aux noms de domaine, services, applications, etc.).
Ce protocole majeur était l’un des derniers à ne pas être protégé par la cryptographie pour le transport des informations (requêtes et réponses). Il évolue rapidement ces dernières années pour renforcer la sécurisation des requêtes DNS et l’utilisation des nouveaux canaux (TLS, http/2, http/3) afin de ne plus transiter en clair sur le réseau.
L’objectif principal de cette mise en œuvre étant de protéger le lien entre un utilisateur et le résolveur configuré.
Il est à noter que le renforcement du niveau de confidentialité des échanges est complémentaire à DNSSEC, qui reste un mécanisme nécessaire pour la vérification de l’intégrité d’une réponse DNS.
L’Afnic est partie du constat qu’il n’existait pas ou peu de ressources francophones sur la mise en œuvre d’un résolveur DoT ou DoH (aujourd’hui principalement des guides pour configurer le transfert de ses requêtes vers un résolveur tiers supportant DoT ou DoH). Pour combler ce manque, l’Afnic a créé et met à disposition ces nouvelles contributions, illustrées d’exemples concrets et accessibles à tous. L’ensemble des personnes et organisations francophones qui le souhaitent peuvent ainsi approfondir leurs connaissances sur ce sujet.
Vous serez ainsi en mesure de tester la mise en œuvre d’un résolveur DoT ou DoH mais également de vérifier son bon fonctionnement au regard des standards grâce au logiciel libre développé par l’Afnic (RFC 7858 pour DoT et RFC 8484 pour DoH).
L’Afnic, attachée à sa mission de transfert d’expertise via le partage et la diffusion des connaissances, espère contribuer à une meilleure compréhension de ces évolutions et leur adoption par le plus grand nombre d’opérateurs de résolveurs, qui aujourd’hui représentent des acteurs importants pour la diversité et la résilience de l’internet.
Les ressources mises à disposition sont les suivantes :
-
La vidéo du wébinaire
-
Le tutoriel « Créez votre propre résolveur DoT/Dot » et disponible depuis le Gitlab d’Afnic Labs
-
Le logiciel libre développé par l’Afnic permettant de tester la conformité par rapport aux standards, de l’implémentation de résolveurs DoT et DoH.
Nous remercions tout particulièrement Stéphane Bortzmeyer et Alexandre Pion pour l’ensemble de ces travaux.
Zonemaster is a program that was designed to help people check, measure and hopefully also understand the workings of the DNS (Domain Name System). It consists of three basic modules: - Engine (a test framework that supports all functionality to perform DNS tests) - The CLI interface and - The web interface
When a domain (such as "zonemaster.net") is submitted to Zonemaster interfaces (CLI or Web) it will investigate the domain’s general health by traversing the DNS from root (.) to the TLD (Top Level Domain, like .net) to eventually the nameserver(s) that holds the information about the specified domain (zonemaster.net). The different sanity checks conducted by the zonemaster tool is documented in the Test Requirements document
L'Afnic travaille, notamment au sein du CENTR et de l'IETF, à améliorer la protection de la vie privée pour les utiisateurs du DNS. Le protocole DNS est un élément peu connu mais crucial de l'infrastructure de l'Internet. Aujourd'hui où les préoccupations sur la vie privée ont pris beaucoup d'ampleur, il est donc normal de se pencher sur la question « DNS et vie privée ». Tout utilisateur de l'Internet se sert abondamment du DNS, même s'il ne s'en rend pas compte, et même s'il ignore tout du DNS et des noms de domaine. À chaque fois que cet utilisateur envoie un message, qu'il clique sur un lien hypertexte, que son ordinateur met à jour ses logiciels, il y a une (et souvent bien plus d'une) requête DNS. Mais, autant les questions de vie privée liées au protocole du Web, HTTP, ont été longuement discutées (qu'on songe aux débats comme « faut-il une autorisation explicite de l'utilisateur pour placer des cookies ? » ou bien « l'adresse IP est-elle une donnée nominative ? »), autant celles liées au DNS ont été d'abord négligées, puis ensuite étudiées uniquement dans un petit cercle, essentiellement à l'IETF. La sortie prochaine du RFC « DNS privacy considerations » sera la première manifestation officielle de cet intérêt.
Vous avez peut-être (mais sans doute pas) entendu parler des lois LOPPSI et Terrorisme (cette dernière votée fin 2014) et de leur décret d’application (sorti en début d’année 2015).
Ces lois permettent à la police, sans intervention d’un juge et sans aucune transparence, de bloquer, avec l’aide de certains fournisseurs d’accès (pour l’instant, seuls les 4 plus gros en France, à savoir Orange, Free, SFR-Numéricâble et Bouygues) un site Internet faisant l’apologie du terrorisme.
Pour ne pas accabler le gouvernement, il faut savoir que le PS a combattu le blocage sans juge avec succès lorsqu’il était dans l’opposition, pendant le mandat Sarkozy, avant de le voter quasi unanimement en 2014, avec l’aide du PCF (qui voulait en fait voter contre mais ne s’en est aperçu qu’après).
https://www.bortzmeyer.org/censure-francaise.html
https://www.libre-parcours.net/post/censure-administrative-sites/
http://www.numerama.com/magazine/32492-un-site-d-information-islamique-censure-en-france-sans-decision-judiciaire.html
http://www.nextinpact.com/news/93457-islamic-news-info-bloque-sans-juge-pour-apologie-ou-provocation-au-terrorisme.htm
http://esquisses.clochix.net/2015/03/16/censure/#light
http://ecrans.liberation.fr/ecrans/2015/03/16/cinq-sites-web-projihad-bloques-de-l-interieur_1222042
https://firstlook.org/theintercept/2015/03/17/whats-scarier-terrorism-governments-unilaterally-blocking-websites-name/
https://edri.org/france-censorship-without-judicial-oversight/
http://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000030195477&dateTexte=&categorieLien=id
https://www.laquadrature.net/fr/la-france-persiste-et-signe-la-censure-administrative-du-net
http://www.la-croix.com/Culture/Nouvelles-technologies/Premiers-blocages-de-sites-Internet-pour-apologie-du-terrorisme-en-France-2015-03-16-1291766
http://www.lepoint.fr/societe/terrorisme-la-france-bloque-pour-la-premiere-fois-un-site-web-16-03-2015-1913186_23.php
http://ecrans.liberation.fr/ecrans/2015/03/16/cinq-sites-web-projihad-bloques-de-l-interieur_1222042
http://reflets.info/putain-de-dns-menteurs/
http://reflets.info/censure-administrative-du-net-pour-parfaire-le-decor/
http://www.numerama.com/magazine/32516-moi-censure-par-la-france-pour-mes-opinions-politiques.html
http://www.afnic.fr/fr/l-afnic-en-bref/actualites/actualites-generales/6573/show/le-conseil-scientifique-de-l-afnic-partage-sur-le-filtrage-internet-par-dns.html
http://www.afnic.fr/medias/documents/conseilscientifique/CS-consequences-du-filtrage-internet-par-le-DNS.pdf
Après un an d’une collaboration réussie entre l’Afnic et le .SE, un nouvel outil de vérification DNS (Domain Name System), appelé Zonemaster, est mis à disposition aujourd’hui.
Successeur des renommés ZoneCheck et DNSCheck, respectivement créés par l’Afnic et par .SE, Zonemaster a tout pour devenir l’instrument de référence mondial de vérification DNS.
Le DNS est un élément essentiel d’infrastructure pour toute communication sur Internet. Un contrôle régulier de la qualité technique des noms de domaine est donc primordial pour assurer la résilience1 du réseau au niveau global.
Disponible en logiciel libre, Zonemaster peut être utilisé via une interface web http://www.zonemaster.net/ ou en environnement local en ligne de commande ou au travers d’une interface graphique après téléchargement de ses composants sur https://github.com/dotse/zonemaster et leur installation sur une machine Unix.
Le service est disponible en anglais, en français et en suédois.
Mieux comprendre Internet avec cette vidéo explicative sur le fonctionnement du système des noms de domaine (DNS) mise à disposition par l'AFNIC (gestionnaire des extensions ccTLDs .fr, .re, .yt, .pm, .wf et .tf) et le CENTR.
Le premier thème sur les usages de l’Internet a permis de dégager la vision des répondants sur les dix ans à venir sur l’accès à Internet, les usages et contenus ainsi que sur le stockage des données.
S’appuyant sur les prédictions faites par les répondants à l'enquête, la toile de fond est également formée de deux types d'assertions de tendances, des consensus (70 % de pourcentages minimum) et des divergences.
Dans cette édition, parmi les consensus dégagés, il est à noter que :
Le DNS restera le système de nommage et de résolution dominant sur l'Internet.
Les domaines de premier niveau nationaux (ccTLD, « country-code Top-Level Domains ») conserveront leur attrait auprès des titulaires de noms de domaine.
Parmi les principales barrières au développement de nouveaux usages sur Internet :
le filtrage / blocage des applications utilisateur sur Internet ;
l’absence / faiblesse de la sécurité des communications (confidentialité, vie privée…).
La protection des données personnelles collectées par les fournisseurs de services sur Internet ne sera pas suffisante.Les divergences sont notamment les suivantes :
Les résolveurs DNS locaux (sur des machines utilisateurs) vont représenter une part significative par rapport aux résolveurs des FAI ou résolveurs "ouverts" type Google Public DNS.
Pour les cas de requêtes DNS confiées à un tiers (FAI ou offreurs de résolveurs alternatifs), le recours aux résolveurs alternatifs dépassera l'utilisation du résolveur de son propre FAI.
Les différents types d'accès à l'Internet filaire (dsl, fibre...) seront neutres, dans le sens où ces accès laisseront passer tout trafic échangé sans préjuger de sa nature.http://www.afnic.fr/medias/documents/afnic-synthese-toile-de-fond-tech-2014.pdf
http://www.afnic.fr/data/divers/public/afnic-rapport-toile-de-fond-tech-2014.pdf
http://www.afnic.fr/medias/documents/DNSSEC/afnic-dnssec-howto-fr-v2.pdf
La sécurité de tout système dépend à la fois de la sécurisation de ses différentes composantes et des interactions entre celles-ci. Ce constat est aussi valable pour le DNS (Domain Name System), maillon clé du fonctionnement de l’Internet, car la quasi-totalité des services en ligne utilise des noms de domaine à un moment ou à un autre.
Cependant, le DNS a été mis au point dans les années 80, dans un environnement où sa capacité à répondre aux besoins de performance et de résilience primait sur sa sécurisation. Avec le temps, et notamment depuis 2008, avec la révélation de la « Faille Kaminsky », la nécessité de mieux sécuriser le DNS est devenue une priorité pour tous ses acteurs.
Cet espace vous permet de contribuer à la sélection des thèmes qui seront abordés dans les six ateliers du forum sur la Gouvernance Internet du 10 Mars 2014.
ienvenue sur l’espace de discussions et de préparation du forum français sur la gouvernance Internet.
Ici, nous vous invitons à indiquer aux organisateurs du forum les thèmes que vous voudriez voir abordés le 10 mars prochain à l’occasion de la première édition du forum.
Vous avez jusqu’à fin février pour proposer et discuter des thèmes qu’il vous semble primordial d’aborder à l’occasion du Forum de la Gouvernance Internet 2014.
Début mars nous sélectionnerons avec la communauté les thèmes qui seront abordés pendant la journée du 10 mars 2014.
Certains fils de discussion ont déjà été ouverts par le comité d’organisation, ils ne sont là qu’à titre indicatif à ce stade. N'hésitez pas à les commenter, ou à ouvrir d’autres fils sur d’autres thèmes si vous le souhaitez.
Alors que la sécurisation des communications sur Internet n’a jamais été autant d’actualité, l’Afnic lance un dossier thématique consacré au protocole DANE
http://www.afnic.fr/medias/documents/Dossiers_pour_breves_et_CP/dossier-thematique12_VF1.pdf
Le 9 juillet dernier, pour la troisième année consécutive, l’Afnic organisait la journée du Conseil scientifique. Retour en images sur cet événement.
Vidéos et slides
Le but de cette étude est de contrôler, au travers des protocoles BGP pour la connectivité et DNS, les capacités de résilience de l’Internet français. Cette résilience est définie en tant que capacité fonctionnelle à supporter un incident, depuis sa survenue jusqu’au rétablissement nominal.
l découle de cette étude quatre recommandations aux acteurs français d’Internet :
déployer IPv6 ;
répartir les serveurs DNS faisant autorité au sein de différents opérateurs ;
déclarer systématiquement les objets route et les maintenir à jour ;
appliquer les bonnes pratiques BGP.http://www.ssi.gouv.fr/IMG/pdf/rapport-observatoire-20130617.pdf
Dans le cadre de ses travaux sur la neutralité du Net, l’Autorité de régulation des communications électroniques et des postes (ARCEP) a annoncé, le 25 mars dernier, la mise en place de son dispositif de mesure et de suivi de la qualité des services fixes d’accès à l’internet. L’objectif de ce dispositif est « d’améliorer l’information des internautes et de donner à l’Autorité les moyens d’assurer sa mission de supervision du niveau général de qualité des services fixes de téléphonie et d’accès à l’internet. » Afin de l’aider dans l’élaboration de ce dispositif, l’ARCEP a mis en place un comité technique composé des opérateurs de télécommunications, des associations d’utilisateurs (UFC, AFUTT, La quadrature du Net) et des experts issus de l’INRIA et de l’AFNIC. Ce dispositif comporte deux types de mesures : 1. Des mesures principales réalisées dans un environnement et sur des lignes dédiés : à la charge des opérateurs, ces mesures porteront « sur sept indicateurs de performance : quatre indicateurs techniques génériques (notamment les débits) et trois indicateurs relatifs à des usages-types : usage web, usage streaming vidéo, usage peer-to-peer » ; 2. Des mesures complémentaires réalisées chez les utilisateurs : à la charge de l’ARCEP, ces mesures « consisteront en des tests initiés par des utilisateurs volontaires, depuis leur propre équipement » et permettront de mesurer la performance des lignes testées. L’Autorité utilisera ces mesures pour vérifier l’exactitude des mesures principales. Les résultats de ces études seront publiés chaque semestre. L’ARCEP espère pouvoir publier les premiers résultats à la fin de l’année.
Le conseil scientifique de l’Afnic s'est penché sur la technique du filtrage Internet par le DNS et partage son rapport.
Alors que le filtrage d’Internet par le DNS (système des noms de domaine) est souvent évoqué concernant la lutte contre la cybercriminalité et est un élément de réflexion dans les débats sur la neutralité du net, le conseil scientifique de l’Afnic s’est penché sur cette technique, les moyens de sa mise en œuvre, l’atteinte théorique des objectifs qui lui sont assignés et la présence ou non d’effets collatéraux qu’elle pourrait engendrer.
En tant qu’opérateur de registre Internet, l’Afnic est responsable du bon fonctionnement de la résolution des requêtes DNS dans les zones internet .fr, .re, .wf, .yt, tf. Elle participe activement aux organes internationaux de discussion, de standardisation et de normalisation des protocoles de base de l’Internet.
Il ressort de l’étude du conseil scientifique de l’Afnic que le filtrage DNS est une technique qui permet théoriquement de relocaliser au niveau d’un pays, ou d’un opérateur télécom, la décision d’autoriser ou d’interdire l’accès à un nom de domaine. Toutefois, le contournement de ces mesures est techniquement simple.
L'adoption de technologies comme DNSSEC pourrait également être perturbée. Enfin, les mesures prônées habituellement pour renforcer la confiance sur les sites de commerce électronique, notamment la vérification de l'URL dans la barre du navigateur, verraient leur efficacité atténuée.
Ainsi, les effets collatéraux de la mise en place à grande échelle du filtrage DNS sont importants sur la sécurité de l'Internet. Ses effets pourraient affaiblir durablement les repères de confiance sur lesquels les utilisateurs s'appuient aujourd'hui.
L’Afnic met en garde contre une extension des prérogatives de l’UIT sur Internet
En amont de la révision du Règlement des télécommunications internationales (RTI), l’Afnic, registre français de noms de domaine, appelle à une clarification du rôle de l’Union internationale des télécommunications (UIT) sur Internet.
Cet outil a pour vocation de vous initier à la maîtrise du nommage
Internet dans ses composantes stratégiques et techniques. Il vous permet une meilleure compréhension des organismes, des processus et des architectures qui entrent en jeu dans le bon fonctionnement d'un nom de domaine.
Des cours organisés pédagogiquement, des fiches techniques, des animations, des QCM, des références vous sont proposés afin de parfaire votre savoir théorique et pratique.