Premier anniversaire de dns.shaftinc.fr


🥳 et 🎂

Il y a tout juste un an, le 23 août 2021, j’ouvrais au public un service de résolveur DNS-sur-TLS (DoT) et DNS-sur-HTTPS (DoH), le bien nommé dns.shaftinc.fr, après des mois de procrastin bêta-tests intensifs. L'occasion de faire un petit bilan.

Quelques statisques

En premier lieu, l'usage. Le service est relativement peu utilisé, avec en moyenne 0,378 requêtes/s reçus sur l'année, ce qui permet d'estimer sommairement à environ 12 millions le nombre de requêtes. Le pic est à 17,01 req/s. Côté protocole, DoH a d'abord été proéminent puis supplanté par DoT.

(Le trou dans les statistiques en août 2022 vient d'un problème sur le réseau de la machine de supervision.)

Avec cette utilisation peu intensive, on se retrouve logiquement avec un cache peu alimenté et donc une majorité de requêtes nécessitant d'aller chercher les réponses dans le Grand Internet. Détail intéressant : plus DoH est utilisé, plus le cache est solicité. On peut en déduire que les personnes utilisant DoT ont des résolveurs récursifs de leurs côtés afin de profiter également d'un cache.

Le cache configuré pour dnsdist (pour rappel, le logiciel qui répond à vos requêtes) peut contenir 100 000 entrées, il y a de la marge.

Pannes & évolutions

Durant l'année écoulée, quelques pannes à déplorer. La première dans les jours qui ont suivi l'ouverture du service et qui était due à une erreur de configuration réseau de ma part. Cela a entrainé une coupure de service d'une douzaine de minutes. La seconde panne, le 23 juin dernier, fut causée par une maintenance de l'hébergeur induite par un routeur défectueux en amont du serveur. La perte de connectivité fut d'environ 45 minutes.

Pour le reste, des interruptions programmées du service ont eût lieu, sans impact (l'avantage d'être un couche-tard), toute l'année afin de mettre à jour la machine ou de faire évoluer la configuration du service.

En parlant de configuration du service, elle a évoluée au gré des nouvelles versions des logiciels utilisés. 2 évolutions importantes :

Le turfu

Et pour l'année à venir ?

A priori peu de nouveautés à prévoir pour les utilisateur·trice·s du service. Les grandes évolutions devraient être l'arrivée, un jour, de DNS-sur-QUIC (DoQ) et DNS-sur-HTTP/3 dans les logiciels, mais tout porte à croire que ce ça ne sera pas disponible d'ici août 2023. dnsdist sera peut-être compatible DoQ et DoH/3 (les travaux sont en cours), mais pas sûr que cela soit facilement utilisable dans Debian. Par facilement, j'entends par là directement exploitable éventuellement en installant le paquet qui va bien et avec 2 lignes dans un fichier de configuration, sans avoir à récupérer et compiler une version forké d'OpenSSL ou une autre crémerie cryptographique comme le BoringSSL de Google).

En revanche, côté opérateur réseau les choses changent : dns.shaftinc.fr n'est accessible qu'en IPv6. Sur le réseau fixe, le déploiement continue son bonhomme de chemin (sauf chez SFR). Sur le réseau mobile, les FAI étaient frileux jusqu'à récemment. C'était sans compter sur l'ARCEP qui a fait d'IPv6 une obligation pour pouvoir prétendre à des fréquences 5G. Par conséquent, il devient possible d'avoir presque en permanence de l'IPv6 sur son ordiphone, même en dehors de Maçon Télécom (c'est mon cas chez Free Mobile depuis quelques mois par exemple). Il reste une bonne marge de progression, mais il devient donc plus aisé d'utiliser dns.shaftinc.fr depuis son mouchard portatif.

En attendant, n'hésitez pas à utiliser le service (il se tourne les pouces, aidez le à bosser 😬) et à suivre les annonces (soit via un flux de syndication dédié, soit via le Fédivers) !