Vous êtes ici :
-
Consultations
-
Commandes publiques de l'Afnic
-
Documents de référence
-
Statistiques
-
Publications
-
Blog
- Brexit et .fr
- Radioscopie du .RE
- Les marques répondent présentes au 2nd rendez-vous du Cercle des .marque
- À propos de l’attaque sur les résolveurs DNS de FAI français
- Utiliser l'open data de l'Afnic : exemple avec le terme COVID
- Héberger un nom de domaine avec caractères composés
- L’éligibilité d’un titulaire situé sur le territoire du Royaume-Uni post BREXIT
- Peut-on avoir des caractères composés dans un nom de domaine ?
- Le fonctionnement de l'Afnic pendant le confinement
- Quels domaines de premier niveau ont une adresse IP ?
- Lala Andriamampianina nous a quittés
- 6 conseils pour éviter les piratages de son site web
- Résolutions 2020: l'Afnic se met à l'elliptique
- À la recherche des nTLD low cost
- Balade au cœur du .paris - à la découverte de sa communauté
- Le .ORG – une autre perspective
- Retour sur le succès de la première rencontre du Cercle des .marque
- Facteurs clés de succès des extensions internet : une grille d’analyse
- [Vidéo] Retour sur le Forum de la Gouvernance Internet (FGI) France 2019
- Un petit exemple d'utilisation des données ouvertes de l'Afnic
- Réflexions sur les modèles économiques des « nouveaux TLD »
- 30 ans, des succès, et des risques ; le Web, l'URL et le futur
- [Success stories] Renforcer son infrastructure pour l’adapter à ses ambitions
- 1er février 2019 : le DNS va-t-il trembler ?
- [Success stories] Ils ont fait le choix d’une extension internet personnalisée
- [Success stories] Le .museum, une extension internet historique redynamisée
- Les grandes étapes pour lancer efficacement votre .marque
- 6 secrets pour améliorer le renouvellement des noms de domaine
- [Vidéo] Retour en images sur l'IGF 2018 Paris
- Le .MARQUE pour optimiser l'expérience client
- L’Afnic s’implique dans la sécurité du DNS au niveau international
- Remplacement de la clé KSK de la zone racine : Êtes-vous prêts ?
- Comment la SNCF a mis en oeuvre sa nouvelle stratégie digitale avec oui.sncf ?
- Projet de R&D: classification automatique des abus en matière de noms de domaine
- Mémorisation auditive des noms de domaine
- Quelles actions mener face aux abus sur les noms de domaine ?
- Usurpation d’identité par nom de domaine : ce que fait l’Afnic
- Cybersquatting, Spam, Phishing… les différents types d’abus sur noms de domaine
- [Vidéo] Retour sur le Forum de la Gouvernance de l'Internet France 2018
- Les extensions internet personnalisées : quelles opportunités pour les marques ?
- Comment éviter l'irrecevabilité dans la procédure SYRELI
- Quels sont les termes anglophones les plus utilisés dans les domaines en .FR ?
- Sécurité des noms de domaine, l'exemple des cryptomonnaies
- Test de personnalité : êtes-vous prêts pour le RGPD ?
- Les extensions comme le .alsace ont-elles un effet sur le SEO local ?
- Quels sont les termes les plus utilisés dans les noms de domaine en .fr ?
- Les 11 endroits incontournables où votre adresse internet doit apparaitre !
- Quels moyens d'actions pour les ayants-droits non éligibles à la charte du .fr ?
- Litige sur un nom de domaine: la reconnaissance des droits d'une AOC dans SYRELI
- Pourquoi utiliser un nom de domaine sous une nouvelle extension ?
- L'Afnic, une communauté avant tout !
- La défense des droits de la personnalité dans la procédure SYRELI
- Le prochain round des nouveaux gTLD, c’est pour quand ?
- Pourquoi venir à l’Afnic Forum ?
- Résolveur public de DNS-sur-TLS Yeti
- 2016, début d’un nouveau cycle pour l’Afnic
- Le .fr vient de franchir le cap des 3 millions de noms de domaine
- Mon expérience au sein du service Juridique de l'Afnic
- [Vidéo] 4 conseils pour réussir le lancement de votre entreprise sur Internet
- Futur de l’ICANN: Ni privatisation, ni internationalisation, ni supervision
- Excellence à l’Afnic – le coming out
- Offre exclusive : votre nom de domaine 100% Remboursé* !
- Intervention à l'occasion de la remise du plan de transition IANA
- Afnic Football Club
- 8 astuces pour bien choisir son nom de domaine
- IPv6 et DNSSEC ont 20 et 19 ans. Même combat et mêmes défis !?
- Le projet Yeti d'expérimentation d'une racine DNS
- L.45-2 1° du CPCE : Quand le nom de domaine porte atteinte à la loi
- Comment éviter de se faire voler son nom de domaine par email ?
- Responsabilité et transition IANA : les coulisses
- République numérique : Ceci n’est pas une consultation publique
- Faut-il une approche globale pour les marques territoriales françaises ?
- Ne vendez plus de noms de domaine !
- abc.xyz : erratum.xyz
- abc.xyz : et pendant ce temps en France ?
- abc.xyz : pourquoi pas alphabet.com ? (Version théorie du complot)
- abc.xyz : le succès controversé du .xyz
- Communication institutionnelle : une tension permanente ?
- abc.xyz : pourquoi pas alphabet.com ?
- alphabet.xyz : comment Alphabet a acheté son nom de domaine ?
- abc.xyz : pas d’inquiétude, nous sommes aussi en train de nous habituer à ce nom
- La transition IANA franchit une étape majeure à Buenos Aires
- Une journée dans la vie de la communauté habilitée ICANN
- Transition IANA : la machine est lancée, mais l'échéance approche
- La Chine, une mutation à pas de géant
- Vers un DNS moins indiscret
- Les Parl : mettez toutes les chances de votre côté
- Icann : la gouvernance pour quoi faire ?
- ICANN Singapour. Un débat au bout du monde
- Synthèse de la table-ronde Afnic sur la solidarité numérique
- Mesurer la « qualité » de l'accès à l'Internet, mission difficile
- Réforme de l'Icann, la boite de Pandore est ouverte
- Comment se porte l'Internet en France ?
- Forum sur la Gouvernance de I’Internet : Que faire ?
- Spam suffit !
- Icann : ne bougez plus !
- Escroqueries et usurpations d’identité, expérience d’un rapporteur SYRELI
- La reforme des régions ne sonnera pas la fin des geoTLD français
- Que retenir de NETmundial ?
- Avis de changement à l'Afnic !
- Suggestions pour une transition IANA réussie
- Sur la gouvernance de l'Internet, les Etats Unis jouent la carte Icann
- Retour vers le futur du service juridique de l’Afnic
- Pourquoi les territoires veulent-ils leur place sur Internet ?
- Vers une nécessaire rationalisation du « panier gTLDs » des registrars ?
- L'éléphant IANA est dans la salle
- Syreli fête ses deux ans
- 2014 : changement de jalons pour le système de nommage
- Le système de nommage de GNUnet
- Gouvernance de l’Internet : Au travail !
- La responsabilité sociétale et l'ADN des ccTLDs
- Mais que fait l'Afnic ?
- Conseil d'Etat, Léon Blum, Lawrence Lessig et l'Afnic
- Qui est derrière le Whois ?
- Registrars Atlas 2013, ce qu'il faut retenir
-
FAQ
-
Lexique
-
Certificats
Résolveur public de DNS-sur-TLS Yeti
16 janvier 2017 - Par Stéphane Bortzmeyer
Il existe un nouveau résolveur DNS public DNS-sur-TLS, et il utilise la racine Yeti. Des explications supplémentaires seraient bienvenues ? Les voici.
Le service
Il existe un nouveau résolveur DNS public DNS-sur-TLS, et il utilise la racine Yeti. Des explications supplémentaires seraient bienvenues ? Les voici.
Tout d’abord, expliquons le terme de « DNS-sur-TLS ». Le protocole DNS (Domain Name System – système de noms de domaine) est une composante essentielle de l’infrastructure d’Internet. On y a recours pour la quasi-totalité des transactions sur Internet. Par défaut, elle ne fournit aucune confidentialité (voir RFC 7626 pour une discussion complète des problèmes de confidentialité DNS). Parmi ses faiblesses, il y a le fait qu’actuellement, les requêtes et les réponses DNS sont envoyées en clair, de sorte que n’importe quel mouchard peut découvrir que vous avez un intérêt pour www.aa.org ou pour jane-smith-server.accounting.company.example. Afin de résoudre ce problème spécifique, une norme de chiffrement des requêtes et des réponses DNS a été élaborée, utilisant le célèbre protocole TLS (Transport Layer Security). La norme se trouve dans RFC 7858.
À ce jour, il n’existe qu’un nombre très limité de résolveurs DNS qui acceptent le système « DNS-sur-TLS ». Le résolveur FAI classique ou les grands résolveurs publics ne l’utilisent pas. De manière regrettable, cela est également le cas de résolveurs affirmant fournir un service pour les personnes qui ne font pas confiance aux autres résolveurs. (Voir une liste mise à jour des résolveurs publics existants).
Et Yeti, dans cette histoire, de quoi s’agit-il ? Yeti est une racine DNS alternative qui se focalise non pas sur la création de TLD factices et sur le fait de les vendre, mais sur des expérimentations techniques sur le service racine DNS, expérimentation qui ne peut être effectuée sur la racine « réelle », qui est bien trop sensible. Notez qu’il n’existait aucun résolveur Yeti public. Afin d’utiliser la racine Yeti, la seule manière de procéder était de configurer votre résolveur pour interroger la racine Yeti.
Néanmoins, tout d’abord, un avertissement : Yeti est une expérimentation technique, pas de nature politique. Soyez conscients que les requêtes DNS aux serveurs racine Yeti sont enregistrées et étudiées par des chercheurs. (Il en va de même pour la racine « réelle » par ailleurs, sans parler des utilisations officieuses telles que MoreCowBell).
Étant donné qu’il existe peu de résolveurs DNS-sur-TLS, et afin de collecter plus d’informations sur l’expérience, nous avons installé un résolveur DNS-sur-TLS public utilisant la racine Yeti. Il répond sur le port DNS-sur-TLS classique, 853, sur dns-resolver.yeti.eu.org. Il s’agit d’IPv6, ce qui est normal pour Yeti, dont les serveurs de nom utilisent exclusivement IPv6 .
Deux avertissements néanmoins : il s’agit d’un service expérimental, géré exclusivement sur le principe du « au mieux », et étant donné qu’il envoie des requêtes à la racine Yeti, les données de l’utilisateur sont stockées et analysées. Ainsi, il s’agit de tester des techniques visant à améliorer la confidentialité, non pas de fournir une confidentialité réelle. (Nous serions ravis de trouver un résolveur DNS public garant de la confidentialité, avec des fonctionnalités DNS-sur-TLS, etc.)
Utilisation
Actuellement, la plupart des clients DNS ne sont pas compatibles avec le système DNS-sur-TLS. Si vous souhaitez l’utiliser et ne connaissez pas de clients DNS-sur-TLS, vous pouvez en trouver certains listés sur le portail DNS privacy.
Une manière d’utiliser ce service en tant que transitaire pour un résolveur local. Le serveur Unbound peut le faire avec une installation telle que :
server:
...
auto-trust-anchor-file: "autokey/yeti-key.key"
ssl-upstream: yes
forward-zone:
name: "."
#forward-host: "dns-resolver.yeti.eu.org" # Or the IP address:
forward-addr: 2001:4b98:dc2:43:216:3eff:fea9:41a@853
forward-first: no
Si vous avez installé les utilitaires getdns (par exemple via le paquetage Debian getdns-utils), vous pouvez tester le résolveur avec la commande getdns_query :
% getdns_query @2001:4b98:dc2:43:216:3eff:fea9:41a -s -l L www.eff.org AAAA
...
"just_address_answers":
[ { "address_data":,
"address_type":...
Si vous utilisez le proxy Stubby, vous pouvez le lancer avec :
% stubby @2001:4b98:dc2:43:216:3eff:fea9:41a -L
(ou arguments similaires du fichier de configuration Stubby.)
Nous vous souhaitons bonne chance avec ce service et, s’il y a le moindre problème, n’hésitez pas à demander plus de détails ou de l’aide sur les listes de diffusion Yeti.
Installation
Le résolveur public en tant que tel est installé avec Unbound. Voici sa configuration
server:
use-syslog: yes
root-hints: "yeti-hints"
auto-trust-anchor-file: autokey/yeti-key.key
interface: 2001:4b98:dc2:43:216:3eff:fea9:41a@853
qname-minimisation: yes
harden-below-nxdomain: yes
harden-referral-path: yes
harden-glue: yes
ssl-service-key: "/etc/unbound/tls-server.key"
ssl-service-pem: "/etc/unbound/tls-server.pem"
ssl-port: 853
access-control: ::0/0 allow
log-queries: yes
Comme vous pouvez le constater, les requêtes (nom de requête et adresse IP source) sont enregistrées localement (voir ci-dessus l’avertissement relatif à la confidentialité) mais ne sont pas transmises. Le nom de requête est envoyé aux coordinateurs Yeti.
Ce nom de domaine
est-il disponible ?
Actualités
- 16 mars 2021 L'Afnic rejoint le Think Tank Renaissance numérique
- 12 mars 2021 L’Afnic et Internetstiftelsen prolongent leur projet collaboratif Zonemaster j...
- 11 mars 2021 Le .FR en 2020 : accélération de la transformation numérique des entreprises ...
- 1 mars 2021 Rapport Internet des Objets & Souveraineté Numérique
- 12 février 2021 L’Afnic marraine de l’émission Connecte Ta boîte de France Num