Mozilla est en train de déployer DoH (DNS over HTTPS) par défaut (mot important). Je me disais que c'était bien de tout chiffrer, éviter le MitM et compagnie, mais… je n'avais pas pensé à comment ça serait implémenté. En fait, je me disais bêtement que si les serveurs DNS que j'ai choisi (dans mon OS par exemple) supportent ce protocole, il serait utilisé avec ce serveur DNS.

Mais non, Mozilla semble avoir choisi de mettre (par défaut, c'est important) tout sur Cloudflare, en se foutant de notre config. Cloudflare est une entreprise américaine, pour info… Donc, nos requêtes DNS vont potentiellement aux USA. Sans parler d'un nouveau Point individuel de défaillance, tiens déjà qu'on avait perdu nos extensions car impossible d'avoir des extension non correctement signées même si le veut (genre on sait que c'était signé hier, et hop un certificat expire et bam le même binaire n'est plus utilisable) en point individuel de défaillance.

Bref, revenons sur notre vie privée, que Mozilla nous "vend" comme la différence vis à vis de Google (qui lui, si j'ai bien compris, va activer DoH que si ce que nous on a choisi est compatible : "Chrome 78 will check if the user’s current DNS provider is among a list of DoH-compatible providers, and upgrade to the equivalent DoH service from the same provider", mais mettre par défaut une config vers Cloudflare, c'est moi ou c'est traître niveau vie privée envers les gens qui vont laisser la config par défaut (si j'ai bien suivi, corrigez moi si je me trompe, il n'est pas prévu de popup ou autre, c'est du opt-out)?

Certes Mozilla, "non profit" a décidé de déléguer se confiance à une entreprise "full profit", donc on devrait avoir confiance si on a confiance en Mozilla, mais cette confiance envers Mozilla ne va-t-elle pas diminuer du fait que Mozilla délègue par défaut à une entreprise américaine qui n'a pas les mêmes statuts? Mozilla dépend déjà certes de Google, mais il me semble que Google n'a pas accès par défaut et nommément (le nom précis du site) aux sites web qu'on consulte, juste des "hash".

A noter que par exemple OpenBSD a décidé de désactiver cette option par défaut et que d'autres critiquent fortement ce choix par défaut. Des fois j'ai l'impression que l'idée est de nous jeter dans les bras de Google à force de ne pas comprendre les choix de Mozilla (ce n'est pas la première fois que les choix de Mozilla font polémique par rapport à l'affichage sur sa différence, coucou Google Analytics…).

Pour reprendre le texte dans un des liens que j'ai mis : une possible bonne idée mais une très mauvaise approche.

Et vous, qu'en pensez vous de l'usage de Cloudflare par défaut? Suis-je trop parano?