Le DoT ou DNS over TLS totalement inadapté à la fibre
7 mai 2023 En configurant le DoT – DNS over TLS – sur Unbound, j’ai eu la désagréable surprise de voir tous les fils de mon agrégateur RSS Thunderbird passer au rouge écarlate. Je ne parvenais plus à les actualiser. En repassant en UDP/53, je suis parvenu à réactualiser tous les fils. D’où vient le problème ?
Le souci vient du fait que le DoT utilise le protocole TCP et les connexions sont, du fait de la demande synchronisation, l’échange de jetons et de certificats beaucoup, beaucoup plus lentes. Du coup, la cadence des requêtes provenant de mon agrégateur après le passage à la fibre a dû même faire croire aux serveurs DNS à une attaque émanant de ma machine. Malgré l’utilisation du balancer dnsdist et malgré la mise en cache réalisée par Unbound, l’association FDN a tenu à nous mettre en garde d’une utilisation intensive de ces serveurs DNS :
« Les serveurs refuseront de répondre en cas de requêtes trop nombreuses afin que les serveurs ne soient pas utilisés de façon abusive ou mal intentionnée. »
J’ai immédiatement recherché d’autres serveurs DNS publics accessibles en DoT sur le TCP/53, autres que les usines à collecte des données personnelles proposées par Google, Cloudflare, Quad9, OpenDSN, ou AdGuard. La seule solution réside aujourd’hui dans l’utilisation du protocole QUIC. Mon seul souci – et il est de taille – est qu’il n’est pas encore implanté dans Unbound que j’utilise en redirecteur et cache DNS.
