CloudFlare a déployé #EncryptedClientHello fin septembre. Pour voir une config ECH, c'est notamment dans le #DNS (forcément :) ) dans l'enregistrement #HTTPS. Exemple sur un site chez CF
Conversation
Notices
-
Embed this notice
John Shaft (shaft@piaille.fr)'s status on Thursday, 05-Oct-2023 04:03:31 JST 
John Shaft
-
Embed this notice
Patrick Mevzek (pmevzek@framapiaf.org)'s status on Thursday, 05-Oct-2023 04:03:28 JST 
Patrick Mevzek
@shaft Et c'est débile dans les deux cas, mais ca découle de ce positionnement incorrect de dire "secure DNS = DOH". Alors que pour avoir ECH correctement, il faut DNSSEC, sinon c'est contournable. Les états et gestionnaires de réseau ne vont pas se priver de filtrer ces enregistrements DNS et personne ne verra l'attaque par repli... vu que la majorité des domaines n'utilise pas DNSSEC.
Haelwenn /элвэн/ :triskell: likes this. -
Embed this notice
John Shaft (shaft@piaille.fr)'s status on Thursday, 05-Oct-2023 04:03:29 JST
John Shaft
Bref, Mozilla a activé #EncryptedClientHello dans #Firefox 118 , mais uniquement s'il est configuré pour utiliser #DNSoverHTTPS.
Y en dans Chrome aussi, a priori avec les mêmes conditions pour en profiter (ça semblerait logique)
-
Embed this notice
John Shaft (shaft@piaille.fr)'s status on Thursday, 05-Oct-2023 04:03:31 JST
John Shaft
(Du coup, j'avais la giga-flemme de feuilleter draft-ietf-tls-esni pour voir le format sur le fil - pour mon piti client DoH - mais du coup, c'est évident : ont prend le bidule en binaire et pouf on encode en Base 64)
-
Embed this notice
John Shaft (shaft@piaille.fr)'s status on Thursday, 05-Oct-2023 04:21:44 JST
John Shaft
@R1Rail @bortzmeyer Ça va, OpenSSL aurait pu répondre : « après QUIC » 😬
Ceci dit, OpenSSL aura peut être fini le taf sur QUIC d'ici à ce que le RFC soit publié, puisque je suppose qu'il y a de la bagarre politique à l'IETF sur un sujet aussi sensible
Haelwenn /элвэн/ :triskell: likes this. -
Embed this notice
Erwan 🚄 (r1rail@mastodon.gougere.fr)'s status on Thursday, 05-Oct-2023 04:21:46 JST 
Erwan 🚄
@bortzmeyer @shaft Ok, et j'arrive sur "openssl l'implémentera quand ce sera normalisé", donc c'est pas pour tout de suite dans mon nginx
-
Embed this notice
Stéphane Bortzmeyer (bortzmeyer@mastodon.gougere.fr)'s status on Thursday, 05-Oct-2023 04:21:48 JST 
Stéphane Bortzmeyer
-
Embed this notice
Erwan 🚄 (r1rail@mastodon.gougere.fr)'s status on Thursday, 05-Oct-2023 04:21:49 JST
Erwan 🚄
@bortzmeyer @shaft Ok, mais je ne trouve rien là dessus. Que des "nous chez cloud flare on l'a déployé" et "dans firefox c'est automatique". Mais si moi je veux l'activer sur mon nginx, avec mon knot... je ne trouve pas
L'existence d'un module "echo" pour nginx n'aide pas les recherches....
-
Embed this notice
Stéphane Bortzmeyer (bortzmeyer@mastodon.gougere.fr)'s status on Thursday, 05-Oct-2023 04:21:51 JST
Stéphane Bortzmeyer
@R1Rail @shaft Le serveur faisant autorité (c'est lui qui connait la clé du serveur TLS).
-
Embed this notice
Erwan 🚄 (r1rail@mastodon.gougere.fr)'s status on Thursday, 05-Oct-2023 04:21:53 JST
Erwan 🚄
@shaft C'est à mettre dans le DNS autorité du site ou dans le résolveur ?
-
Embed this notice
John Shaft (shaft@piaille.fr)'s status on Thursday, 05-Oct-2023 04:22:29 JST
John Shaft
@pmevzek Pour le coup, CloudFlare propose tout ce qu'il faut pour DNSSEC normalement. Pas de bol, l'exemple que j'ai choisi a oublié de cocher la petite case. Et bien sur, en cherchant d'autres exemples chez CF je ne suis tombé que sur des domaines non signés 😬 Les quelques HTTPS de domaines signés que j'ai repéré n'ont pas d'ECH
Mais oui, Google et Mozilla sont gonflant à forcer la main sur leur machin DoH intégré. Surtout que le trafic DNS qui sort de ma machine, c'est peut-être du DoT/DoQ
Haelwenn /элвэн/ :triskell: likes this.
-
Embed this notice
All GNU social JP content and data are available under the