Note que le gros des tests et déploiement de SoH en ce moment dépend de serveurs mis en place par CloudFlare. Hors CloudFlare c'est jsutement une des grosses victimes de la méga-panne de Level3 (au moins en Europe).
ce qui marche plutôt pour l'instant (mais pas encore massivement déployé) c'est DoT (DNS over TLS, plutôt TLS 1.3), IPSEC. Il manque encore des composants essentiels: SNI, et surtout le déploiement d'IPv6 qui est encore largement insuffisant pour servir le monde (et notamment les IoT qui se développent à grande vitesse dans l'anarchie la plus complète et sans grand contrôle et même en dépit des règles légales concernant leur sécurité, la confidentialité, l'absense totale de contrôle par l'utilsiateur tant ils sont opaques, jamais maintenus, et pas désactivables). DoH pour moi n'a aucune chance de marcher sans IPv6 partout (Note: Microsoft est en train de supprimer de Windows le support des tunnels IPv6 pour la transition: 6to4, Teredo, etc. sont officielement listés comme n'étant plus maintenus, et les serveurs de Microsoft qui les supporte encore sont en forte déduction de capacité). Microsoft semble faire ça pour forcer les FAI a enfin mettre à jour leurs box ou les remplacer (mais dans de nombreux pays, les box ne sont pas fournis ni gérés par les FAI, ils sont achetés et ceux qui les vendent ne les maintiennent pas non plus, il y a beaucoup de produits défectueux et non conformes dans ce qu'on trouve en ligne dont nombre de vendeurs chinois, et même chez de nombreux importateurs qui achète juste sur catalogue et livrent tels quels) De fait aussi, nombre de'utilisateurs désactivent le support d'IPv6 sur leur matériel parce qu'ils jugent qu'ils n'en ont pas besoin, ou parce qu'un vendeur de VPN leur a dit que c'était nécessaire et qu'ils "s'occupaient de tout" à leur place. Les VPN sont une arnaque commerciale presque partout, avec de fausses promesses de sécurité, de confidentialité ou d'optimisation des performances. Que dire encore des FAI et fournisseurs de services français qui tardent encore à déployer IPv6 (à peine 35% d'entre eux ont une allocation et un bloc routable, mais au final ils ne les utilisent même pas pour leurs clients et préfèrent déployer IPv6 à travers de tunnels IPv4 propriétaires, bien plus lent donc que l'IPv4 natif). Orange en particulier ne fait pas grand chose. Pas plus SFR. Seul Free semble avoir une offre native dual-stack par défaut pour tout le monde (libre ensuite à chacun de le désactiver s'il le veut). Et rien du tout concernant l'Internet mobile. En fait tout ce monde là préfère vendre ses services en fournissant un service DNS dont ils contrôlent et filtrent le contenu, et ils en supprime la sécurité (aucune authentification, ils en profitent pour détourner du trafic: Orange et SFR notamment). Et que dire des offres des FAI français qui imposent l'usage (location ou achat) de leur modèle de box supporté uniquement chez eux et dont ils controlent totalement le firmware (même sur les box achetées et non louées). L'internet transparent et égalitaire n'est pas une réalité, il est même de plus menacé, filtré, comme autant de réseaux propriétaires où on voit ce que le fournisseur veut bien laisser passer. Dans ces conditions, IPv6 ne décolle pas. Et tout le monde continue de dépendre sur des services IPv4 dont on peine à les maintenir en vie et à les sécuriser: Internet est de plus en plus grévé d'erreurs de securité et de défauts de maintenance, mais tout le monde "tolère" ça car en plus ces problèmes servent à booster des ventes d'autres produits dits "de sécurisation" (les VPN sont la dernière invention inutile, alors qu'ils n'étaient au départ qu'une solution transitoire d'interconnexion, pas destinée à optimiser les performances ni réellement apporter une vraie sécurité auditable). Bref j'ai de gros doute sur le fait de déployer DoH pour l'instant. L'Internet n'est pas prêt (en tout cas même pas en France, il l'est juste dans certains petits pays comme le Luxembourg, mais ces même pays dépendent très largement de contenus et services qui ne sont pas accessibles en IPv6, même en vitesse lente pour seulement envisager d'y héberger DNS sur HTTPS ou TLS: meêm sans TLS, le DNS non sécurisé sur TCP est tout aussi lent et sous-dimensionné, il n'y a pas assez de serveurs, même en IPv4, et encore moins en IPv6 où pourtant ce serait plus facile avec plein de ports et des milliards d'IP uniques pour multiplier les ports sans nécessiter d'installer une multitude d'interfaces réseau et leur allouer de très couteuses IPv4). Si je reviens aux VPN, ils sont presque tous conçus pourtant pour héberger leur tunnel en IPv4 (il n'y a pas assez de serveurs de tunnels en IPv6). Il y a bien une parade: faire du TLS avec une encapsulation de TCP sur UDP (solution déjà utilisée pour le streaming sur certains services). Mais les gros sites fournisseurs ou hébergeurs de vidéos eux préfèrent encore l'HTTP(S) sur IPv4 via des serveurs miroirs négociés chez les fournisseurs de CDN (Level3 par exemple) ou négociés avec certains FAI. On est loin de la neutralité du net... c'est une vision centralisatrice et dangereuse en terme de sécurité et de stabilité, un château de cartes qui s'écroule vite avec un effet domino important. Résultat de politiques d'optimisation à court terme qui croient que ces incidents sont très "improbables", donc impossibles (ils préfèrent juste "assurer" le risque en faisant porter les coûts aux tiers et nier leurs responsabilité et sont incapables ensuite de gérer les crises en temps utile et limiter les dégâts). Donc pas de solution de repli, des dépendances fortes à un seul fournisseur de fait en amont. Le cas de Level3 prestataire trop dominant en Europe) est pathétique. Comme aussi le cas de Free qui confie la totalité de son trafic "clients" à un seul prestataire (Cogent aux Pays-Bas) et refuse les interconnexions avec les autres backbones français (sauf comme urgence avec des VPN cachés sous-dimensionnés et pas faits réellement pour ça à l'origine) et tout système de routage passant par des voies régionales (tout le trafic remonte et se concentre à Paris, c'st un réseau totalement en étoile, sans réelle redondance car avec prestataires uniques, cela n'a rien d'une "toile"). Le ven. 4 sept. 2020 à 18:17, Denis Chenu via Talk-fr < talk-fr@openstreetmap.org> a écrit : > Je gère des serveurs dont des serveurs DNS, > > Cependant : je ne me permettrais ni d'évaluer la qualité technique de DOH. > Je laisse cela à des personnes compétentes. > > Denis > Le 04/09/2020 à 15:18, Philippe Verdy a écrit : > > Ce n'est toujours pas complètement réglé. Notamment des fournisseurs de > DNS sécurisés (dont bon nombre de services DNS over HTTPS qui perdent leurs > sessions et on beaucoup de mal à les reconencter) sont toujours impactés. > > Le DNS over HTTPS (DOH) est proposé en ce moment en test par Google ou par > Microsoft sous Windows 10, mais visiblement il n'a pas encore la > capcité nécessaire de supporter le traffic nécessaire: les serveurs DOH > "tombent" les uns après les autres par surcharge (plus assez de ports TCP). > A mon avis le DOH est une mauvaise solution (à cause de l'utilisation de > TCP) et le plus fiable reste encore le DNS sur UDP qu'on peut authentifier > malgré tout avec les signatures numériques et les certificats PKI. > > J'avais ausi repéré l'incident pas que chez Level3 mais aussi chez Cogent > (et sur certaines passerelles de Cogent vers l'Afrique transitant par > OpenTransit/Orange). Là encore il y a toujours un problème (et certains > pays africains sont encore quasi coupés du monde (il y a aussi des > problèmes ailleurs comme en Syrie ou Corée du Nord, mais là c'est beaucoup > plus lié aux mesures politiques, ou des mesures d'urgence dans la > cyberguerre qui se déroule en ce moment, que ce soit entre US et Chine, ou > Chine et Taiwan, et en fait pas tellement pour ce qui concerne la situation > politique locale, puisque même les groupes violents ou extrémistes ont > besoin de ces réseaux et ne les sabottent pas, bien au contraire, même > s'ils veulent en prendre le contrôle pour pouvoir les utiliser encore > davantage: les mesures prises le sont par leurs voisins). > > > Le ven. 4 sept. 2020 à 09:39, Christian Quest <cqu...@openstreetmap.fr> a > écrit : > >> Le 01/09/2020 à 13:33, Philippe Verdy a écrit : >> > oui ça remarche ce midi, hier soir l'internet était un enfer à >> > naviguer. (sauf les sites Google, et le reste était extrèmmeent lent, >> > surtout le DNS et presque tout ce qui transitait par les gros >> > datacenters d'Amsterdam) >> >> >> Tout ceci semble lié à une grosse panne chez Level3/CenturyLink, un gros >> fournisseur de tuyaux. >> >> >> https://www.nextinpact.com/lebrief/43434/une-panne-plusieurs-heures-chez-level3centurylink-fait-planter-partie-services-sur-internet >> >> >> La concentration d'internet dans toute sa splendeur :( >> >> -- >> Christian Quest - OpenStreetMap France >> >> >> _______________________________________________ >> Talk-fr mailing list >> Talk-fr@openstreetmap.org >> https://lists.openstreetmap.org/listinfo/talk-fr >> > > _______________________________________________ > Talk-fr mailing > listTalk-fr@openstreetmap.orghttps://lists.openstreetmap.org/listinfo/talk-fr > > > _______________________________________________ > Talk-fr mailing list > Talk-fr@openstreetmap.org > https://lists.openstreetmap.org/listinfo/talk-fr >
_______________________________________________ Talk-fr mailing list Talk-fr@openstreetmap.org https://lists.openstreetmap.org/listinfo/talk-fr
