Shaft Inc.

Premier anniversaire de dns.shaftinc.fr - 2022-08-23

Il y a tout juste un an, le 23 août 2021, j’ouvrais au public un service de résolveur DNS-sur-TLS (DoT) et DNS-sur-HTTPS (DoH), le bien nommé dns.shaftinc.fr, après des mois de procrastin bêta-tests intensifs. L'occasion de faire un petit bilan.

DNS-over-TLS avec Pi-hole® - 2022-01-29

Pi-hole® est un système de blocage de publicités reposant sur le DNS relativement populaire chez les geeks. De par sa conception, reposant en grande partie sur le logiciel dnsmasq, il n'est malheureusement pas capable d'utiliser DNS-over-TLS (DoT) afin de chiffrer le trafic vers le résolveur qu'il utilise. Il y a une méthode pour utiliser DNS-over-HTTPS (DoH), reposant sur le proxy cloudflared de CloudFlare mais son installation est longue, nécessitant d'installer des logiciels depuis GitHub et de faire plein de trucs chiant d'admin-sys. Voyons voir une méthode plus simple, basée sur des logiciels répandus, au choix Unbound ou Stubby (d'autres sont possibles comme Knot Resolver), plus simples à installer et à configurer. Pour le reste de l'article, je considère que Pi-hole® est déjà configuré sur votre machine. Je ne couvrirai donc pas son installation.

Documentation technique du service dns.shaftinc.fr - 2021-08-23

Après des mois de procrastination bêta-tests privés, je lance enfin mon résolveur DNS sur TLS (DoT) et DNS sur HTTPS (DoH) public : dns.shaftinc.fr. Pour la politique suivie par ce résolveur et la configuration côté client, voir la page dédiée à ces questions. Ce billet traite de la configuration du serveur, au cas où des gens veulent également se lancer dans l'aventure. Attention, billet long et technique.

Une zone locale home.arpa signée avec DNSSEC - 2020-11-14

Ce billet fait suite à une question posée sur le fédivers : comment profiter d'une zone home.arpa. à soi et d'enregistrements SSHFP pour faciliter la gestion de SSH sur le réseau local. Question non triviale car SSHFP nécessite DNSSEC. Voyons donc comment signer une zone locale. La technique va impliquer 2 outils supplémentaires en plus d'Unbound : NSD pour servir la zone locale et ldns pour gérer DNSSEC (génération de clés, signature de la zone). Pour ce billet, je ne rentrerai pas dans les détails de DNSSEC (ZSK, KSK, DS...), une connaissance préalable de la chose est donc préférable.

Gérer un domaine local avec Unbound - 2020-02-29

Rapide billet pour documenter une technique prolongeant le principe déjà étudié pour donner dans le blocage de parasites. Il va s'agir ici de se créer un domaine local, pour le réseau privé, ce qui est bien plus pratique que de retenir des IPs ou maintenir un fichier hosts sur les machines où l'on y a accès.

Escalade dans la traque en ligne, le cas Eulerian - 2019-11-11

Récemment, le quotidien Libération a annoncé en fanfare que ce serait le premier média à supprimer les traqueurs publicitaires de son site web pour ses abonné·e·s (ce que je ne suis pas), oubliant que d'autres le font déjà, comme Next INpact ou Canard PC, voire pire que certains médias dangereusement radicalisés comme Reflets ne déposenti pas de mouchards que vous possédiez un abonnement ou pas. Mais surtout, cette annonce est totalement fausse.

Automatisation de tâches avec les timers systemd - 2019-09-10

Encore un billet d'auto-documentation, voyons voir comment utiliser les timers de systemd en lieu et place des vénérables cron : ils offrent en effet quelques sympathiques avantages que la crontab ne possède pas.

DoT, DoH : le chiffrement du DNS en pratique - 2019-06-28

En complément de ma causerie à Pas Sage En Seine ce 28 juin (et dont les diapos sont ici, je vous conseille d'y jeter un œil avant de lire texte – ou bien lire les RFC 7858, 8310 et 8484 🙂), un billet donc pour parler de ce que je n'ai pas pu placer dans une conférence d'une heure : l'utilisation d'un résolveur DNS sur TLS (DoT) dans la pratique, principalement en tant que client mais aussi quelques billes pour administrer un résolveur complet. J'en profiterai pour causer un peu de DNS sur HTTPS (DoH). Comme d'habitude, les configurations que je donne sont pour des systèmes Debian et dérivés. Les chemins peuvent donc changer si vous êtes sous Arch, une *BSD ou que-sais-je 🙂. Une bonne partie des bouts de configuration présentés ici viennent de ma présentation chez Root66 en avril dernier.

Mon blog utilise TLS 1.3 - 2018-12-22

10 ans après la normalisation de TLS 1.2 dans le RFC 5246, TLS 1.3 a finalement été finalisé en août 2018 dans le RFC 8446 après une gestation particulièrement longue et mouvementée (le premier brouillon date d'avril 2014). Dans la foulée, en septembre, la version d'OpenSSL le prenant en charge (1.1.1) sort. Le temps de vérifier et corriger les logiciels qui en dépendent, cette version est arrivée dans Debian Buster (actuelle branche de test) à la toute fin octobre. La version d'Apache compatible (2.4.36) n'a pas été mise à disposition dans Buster, qui est passé directement à la 2.4.37 quelques jours après OpenSSL 1.1.1.

Un blog RGPD compliant - 2018-05-25

Chez Shaft Inc, votre vie privée est au centre de nos préoccupations. Afin d'être transparents sur les données que nous traitons, nous vous présentons une nouvelle version de nos conditions d'utilisation, entrants en vigueur le 25 mai 2018...

Anciens articles