La machine à idées a encore frappée !

Hier, je me posais la question d'avoir un deuxième résolveur dns validant avec dnssec. J'ai bien sûr moi même un résolveur dns validant, mais il est sain d'en avoir un deuxième sous la main.

J'ai donc fait une petite recherche sur internet et me suis retrouvé avec deux types de réponses :

  • un résolveur dns ouvert tel que je le cherche est une très mauvaise idée.
  • Google DNS, OpenDNS ou d'autres serveurs dns en accès ouvert.

Et alors ?

Alors les serveurs de la deuxième catégorie sont une mauvaise idée : certains filtrent leurs réponses (violation de la neutralité du net et de diverses libertés telles la liberté d'expression); Google, c'est le mal en ce moment.
Globalement, on ne peut pas trop faire confiance à ces entreprises. Trop grosses, trop puissantes, trop d'intérêts…

Donc pourquoi ne pas reprendre l'idée du pool de serveurs de temps et constituer aussi un serveur DNS global sur anycast, validant DNSSEC, distribué, sur une base volontaire et bénévole, donc non censurable et neutre par lui-même…

Je ne sais pas du tout si c'est réaliste, notez le bien ! Je lance l'idée, comme ça, genre ballon-sonde, et je regarde ce que ça donne…

Ce qui est nécessaire…

Pour que les choses marchent bien, il y quand même plusieurs impératifs :

  • un grand nombre de serveurs dans le pool.
  • … sur des ip fixes.
  • avec plusieurs logiciels, résilience informatique oblige…
  • des serveurs bien configurés, avec des pare-feux corrects, faute de quoi les machines tomberont facilement avec une attaque DDoS.
  • des serveurs validants et à jour (on retrouve ici la problématique de la configuration) faute de quoi on se retrouve facilement avec des caches empoisonnés…
  • des administrateurs de serveurs qui communiquent ensemble, se forment les uns les autres et s'auto-forment, s'entraident, se tiennent au courant les uns les autres, de manière que si une faille est détectée dans la conf d'un des serveurs par un pote, aussitôt l'administrateur soit mis au courant.

Le tout doit être testé avant la mise en accès public.

Qui ça peut intéresser ? Qui pourrait être naturellement impliqué dans le projet ?

  • les associations de défenses des libertés, notamment du net, par exemple framasoft et/ou la quadrature du net
  • … leurs supports et relais politiques, donc les partis pirates et leurs militants
  • les geeks de tout poils, amateurs et/ou professionnels
  • les partisans de l'auto-hebergement
  • les FAI associatifs et/ou alternatifs comme ceux de la FFDN
  • les podmins diaspora
  • les membres du pool NTP

Évidemment, tout ce monde là c'est un peu les même puisque quand vous êtes chez FDN & co, vous êtes un geek, et peut-être membre du parti pirate et/ou de la quadrature du net.

Bon alors, vous en pensez quoi de mon idée, en dehors du fait qu'elle est dingue ?


NB : Si vous voulez commenter cet article, écrivez moi un courriel à stephane+blog AROBASE 22decembre DOT eu et je le mettrais ici !