{"id":279,"date":"2009-12-04T12:55:54","date_gmt":"2009-12-04T11:55:54","guid":{"rendered":"http:\/\/signal.eu.org\/blog\/?p=279"},"modified":"2009-12-04T13:13:23","modified_gmt":"2009-12-04T12:13:23","slug":"google-public-dns","status":"publish","type":"post","link":"https:\/\/signal.eu.org\/blog\/2009\/12\/04\/google-public-dns\/","title":{"rendered":"Google public DNS"},"content":{"rendered":"\n<div class=\"twitter-share\"><a href=\"https:\/\/twitter.com\/intent\/tweet?via=pbeyssac\" class=\"twitter-share-button\">Tweet<\/a><\/div>\n<p>Google a annonc\u00e9 hier un nouveau service d&#8217;ordre assez technique mais \u00e0 vocation grand public : <a href=\"http:\/\/googlecode.blogspot.com\/2009\/12\/introducing-google-public-dns-new-dns.html\">Google public DNS<\/a> (merci \u00e0 Philippe de <a href=\"http:\/\/www.bluepipe.net\/\">Blue Pipe<\/a>).<\/p>\n<p>Je profite l\u00e2chement de l&#8217;absence aux <a href=\"http:\/\/www.jres.org\/\">JRES<\/a> d&#8217;un des principaux <a href=\"http:\/\/www.bortzmeyer.org\/\">bloggeurs fran\u00e7ais<\/a> sp\u00e9cialistes pour donner mon grain de sel avant lui sur la question, m\u00eame s&#8217;il m&#8217;a lui m\u00eame gentiment fourni les pointeurs ido\u00efnes vers sa litt\u00e9rature \ud83d\ude42<\/p>\n<p>Il s&#8217;agit \u00ab simplement \u00bb d&#8217;un service suppos\u00e9 remplacer les serveurs DNS r\u00e9cursifs que vous utilisez, soit ceux de votre fournisseur d&#8217;acc\u00e8s (cas le plus courant), soit ceux d&#8217;un service \u00ab ouvert \u00bb (cas moins courant et peu recommand\u00e9).<\/p>\n<p>\u00c0 quoi cela peut-il bien servir ?<\/p>\n<p>R\u00e9ponse rapide pour gens press\u00e9s : en gros&#8230; \u00e0 rien ! Chaque fournisseur de connectivit\u00e9 g\u00e8re ses propres serveurs, bien en g\u00e9n\u00e9ral, et cela reste le plus souvent la meilleure solution (la <em>vraiment meilleure<\/em> solution technique \u00e9tant dans la plupart des cas d&#8217;avoir chez vous un cache DNS local). Et si votre fournisseur ne g\u00e8re pas correctement ses serveurs, il est temps de changer de boutique, pas juste de serveur DNS.<\/p>\n<p>Mais ce nouveau service de Google a tout de m\u00eame plusieurs int\u00e9r\u00eats notables.<\/p>\n<p><!--more--><\/p>\n<ul>\n<li>Il permet de se prot\u00e9ger contre les fournisseurs proposant des <a href=\"http:\/\/www.bortzmeyer.org\/dns-menteur.html\">DNS menteurs<\/a> afin d&#8217;imposer de la publicit\u00e9 aux malheureux qui tapent de travers les noms des sites web auxquels ils acc\u00e8dent ;<\/li>\n<li>Il concurrence certains <a href=\"http:\/\/www.opendns.net\/\">DNS menteurs ouverts<\/a>, propos\u00e9s dans le but avou\u00e9 de fournir un service &#8220;am\u00e9lior\u00e9&#8221; (options de filtrage) par rapport aux DNS de votre fournisseur, mais qui proc\u00e8dent \u00e9galement au d\u00e9tournement de trafic mentionn\u00e9 ci-dessus.<\/li>\n<li>Enfin, il propose des pistes int\u00e9ressantes pour la <a href=\"http:\/\/code.google.com\/intl\/fr\/speed\/public-dns\/docs\/security.html\">s\u00e9curit\u00e9<\/a> comme pour la <a href=\"http:\/\/code.google.com\/intl\/fr\/speed\/public-dns\/docs\/performance.html\">rapidit\u00e9<\/a> de r\u00e9solution. J&#8217;y reviens ci-dessous.<\/li>\n<\/ul>\n<p>L&#8217;argument principal invoqu\u00e9 par Google (la rapidit\u00e9 de r\u00e9solution) est \u00e0 moiti\u00e9 bidon. Le service Google est notablement <a href=\"http:\/\/www.manu-j.com\/blog\/opendns-alternative-google-dns-rocks\/403\/\">plus rapide<\/a>&#8230; que ses concurrents ouverts. Mais il ne peut pas lutter avec le service du fournisseur d&#8217;acc\u00e8s que l&#8217;on utilise, <a href=\"http:\/\/www.bortzmeyer.org\/le-plus-rapide-dns.html\">si ce dernier fonctionne correctement<\/a>, ni <em>a fortiori<\/em> avec un cache local.<\/p>\n<p>Le second argument, celui de la s\u00e9curit\u00e9, est \u00e9galement \u00e0 moiti\u00e9 bidon : si Google a besoin de faire tant d&#8217;efforts pour prot\u00e9ger ce service, c&#8217;est surtout parce qu&#8217;il est ouvert \u00e0 toute requ\u00eate, facilitant donc les attaques. Ce n&#8217;est pas le cas du cache de votre fournisseur, et encore moins d&#8217;un cache local (je suppose \u00e9videmment que votre configuration est \u00e0 jour de l&#8217;\u00e9tat de l&#8217;art : le temps des serveurs locaux ouverts est termin\u00e9 !). Rien ne dit pour l&#8217;instant que le r\u00e9sultat fourni par Google aura une s\u00e9curit\u00e9 sup\u00e9rieure aux caches classiques. On peut \u00eatre en revanche s\u00fbr qu&#8217;il sera une cible privil\u00e9gi\u00e9e d&#8217;attaques ! N\u00e9anmoins, les mesures de protection mises en oeuvre par Google sont novatrices et peuvent donner des id\u00e9es\u00a0 d&#8217;am\u00e9lioration pour les logiciels serveurs DNS classiques. On peut faire confiance \u00e0 Google pour analyser leur efficacit\u00e9.<\/p>\n<p>Reste le troisi\u00e8me argument, la validit\u00e9. M\u00eame s&#8217;il est cit\u00e9 en dernier, c&#8217;est sans doute le plus int\u00e9ressant des trois, car il indique l&#8217;engagement de Google sur la qualit\u00e9 du service rendu, et surtout explicite leur refus de recourir \u00e0 un service \u00ab menteur \u00bb, une tendance parasite r\u00e9cente et p\u00e9nible chez les mauvais fournisseurs. L\u00e0 encore, la question ne se poserait pas pour un cache local.<\/p>\n<p>Enfin, on peut \u00e9galement faire confiance \u00e0 Google pour effectuer des statistiques d&#8217;usage sur les noms r\u00e9f\u00e9renc\u00e9s par les requ\u00eates leur parvenant, et pour les exploiter. Le sujet est soigneusement \u00e9lud\u00e9 par leur billet d&#8217;annonce.<\/p>\n<p>Petite cerise sur le g\u00e2teau, l&#8217;adresse IPv4 du service Google : <strong>8.8.8.8<\/strong>. Tr\u00e8s joli. On attend maintenant un \u00e9quivalent en IPv6 tout aussi d\u00e9coratif.<\/p>\n<p>En conclusion, Google propose donc ce qui pourrait s&#8217;imposer comme le meilleur service \u00ab ouvert \u00bb de DNS r\u00e9cursif actuel. Cela ne vaut certainement pas un bon service r\u00e9cursif \u00ab priv\u00e9 \u00bb, mais cela aura au moins le m\u00e9rite d&#8217;am\u00e9liorer ce qui est disponible en \u00ab bas de gamme \u00bb. M\u00eame si l&#8217;on ne s&#8217;en sert pas, on peut au moins en saluer la louable intention.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Google a annonc\u00e9 hier un nouveau service d&#8217;ordre assez technique mais \u00e0 vocation grand public : Google public DNS (merci \u00e0 Philippe de Blue Pipe). Je profite l\u00e2chement de l&#8217;absence aux JRES d&#8217;un des principaux bloggeurs fran\u00e7ais sp\u00e9cialistes pour donner mon grain de sel avant lui sur la question, m\u00eame s&#8217;il m&#8217;a lui m\u00eame gentiment &hellip; <a href=\"https:\/\/signal.eu.org\/blog\/2009\/12\/04\/google-public-dns\/\" class=\"more-link\">Continue reading <span class=\"screen-reader-text\">Google public DNS<\/span> <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":[],"categories":[15,7,4],"tags":[],"_links":{"self":[{"href":"https:\/\/signal.eu.org\/blog\/wp-json\/wp\/v2\/posts\/279"}],"collection":[{"href":"https:\/\/signal.eu.org\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/signal.eu.org\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/signal.eu.org\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/signal.eu.org\/blog\/wp-json\/wp\/v2\/comments?post=279"}],"version-history":[{"count":11,"href":"https:\/\/signal.eu.org\/blog\/wp-json\/wp\/v2\/posts\/279\/revisions"}],"predecessor-version":[{"id":284,"href":"https:\/\/signal.eu.org\/blog\/wp-json\/wp\/v2\/posts\/279\/revisions\/284"}],"wp:attachment":[{"href":"https:\/\/signal.eu.org\/blog\/wp-json\/wp\/v2\/media?parent=279"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/signal.eu.org\/blog\/wp-json\/wp\/v2\/categories?post=279"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/signal.eu.org\/blog\/wp-json\/wp\/v2\/tags?post=279"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}