On ven. 10 févr. 18:02:33 2017, Santiago R.R. wrote:
Plus qu'au débat, je pourrais l'appliquer à la situation actuelle. À mon avis, grifon doit combattre, tant que possible, la censure et la surveillance dans son offre d'internet, dont le résolveur DNS fait partie.
Pour ce qui est de la surveillance, à moins que grifon soit directement branché à tous les AS du monde c’est impossible à garantir. Et quand bien même, il est de notoriété publique que la DGSI, le GCHQ ou la NSA surveillent les câbles sous-marin. Donc en tant que FAI, notre seul moyen d’action purement technique est de proposer des tunnels chiffrés, afin de retarder le moment où ça passe en clair, ce que l’on fait déjà. Et pour la censure, le résolveur de gozdata a le même niveau de mensonge que celui de grifon. D’ailleurs, ils tournent sur le même hyperviseur. C’est même exactement les mêmes technologies utilisées dans les deux cas. On peut très bien annoncer le résolveur de gozdata dans la conf du VPN, ça revient exactement au même.
Et pour mes conclusions… J'étais de l'avis de ne pas avoir de résolveur ouvert, car il peut être utilisé pour des attaques reflect-and-amplify. Mais ce raisonnement me fait douter sur cela. Et si ce combat que je pense est propre à grifon peut atteindre un public au-delà des adhérents, dans un future proche grifon pourrait (devrait ?) fournir un résolveur public [1]. Cela implique offrir du DNS-on-TLS, écouter sur TCP, limiter le trafic et continuer à faire un bon travail :-)
Et tant mieux si je peux donner un coup de main !
Non, le rôle de grifon n’est pas de proposer un résolveur DNS aux gens. Le rôle de grifon est de promouvoir, et fournir autant que faire se peut, un internet neutre. Et ça, on le fait. De plus, on a déjà une todo list largement assez grande sans s’occuper des affaires des autres. Si quelqu’un veut utiliser le résolveur de grifon, il prend un VPN ou il s’abstient. Pas plus que l’on va fournir un résolveur DNS à tout le monde, on ne va pas non plus offrir de l’hébergement web parce que cogent bloque the pirate bay. Et on ne va pas non plus proposer notre propre moteur de recherche, parce google est un point d’entrée presque obligatoire du web, et qu’ils ne sont pas éthiques. Par contre, fournir des services respectueux de la vie privée, ça c’est le rôle de gozdata. Et à ce titre, on fournit un résolveur ouvert, validant, et non-censuré. Il ne supporte toujours pas DNS-on-TLS car E_NOTIME, mais il ne tient qu’à toi de corriger ce point ;) -- alarig