AccueilActualités informatiqueLe service DNS de Cloudflare se bloque, les Fritzbox réagissent par des...

Le service DNS de Cloudflare se bloque, les Fritzbox réagissent par des hoquets

Les utilisateurs de Fritzbox qui ont activé la communication DNS cryptée pour protéger leur vie privée et qui utilisent pour cela un résolveur DNS de Cloudflare peuvent actuellement voir leur accès à Internet perturbé.

Le symptôme : Les appareils connectés à de telles Fritzbox et utilisant la Fritzbox pour la résolution DNS ne peuvent pas atteindre de destinations sur Internet (les appareils utilisant un autre résolveur que celui de la Fritzbox n’ont pas ce genre de problème).

Le déclencheur : Le résolveur inscrit dans la configuration DNS-over-TLS de la Fritzbox cloudflare-dns.com ne réagit actuellement pas aux requêtes DNS. Sur certaines Fritzbox, la résolution DNS échoue alors complètement, même si d’autres résolveurs sont inscrits et fonctionnent sans erreur.

Un utilisateur signale qu’il a résolu le problème en désactivant la vérification des certificats. Cela améliore certes la fiabilité du service DNS, mais cela ne permet pas à la Fritzbox de s’assurer qu’elle envoie effectivement ses requêtes DNS aux résolveurs configurés (ou à un résolveur qui fait semblant d’être celui configuré). Dans les environnements où les exigences en matière de sécurité des réponses DNS sont faibles, on peut le faire. La fonction « Autoriser le repli sur une résolution de nom non cryptée sur Internet » est tout aussi utile. La boîte bascule alors automatiquement sur la communication DNS traditionnelle en texte clair si la communication cryptée échoue pour une raison quelconque.

La fonction « Autoriser le repli sur la résolution de nom non cryptée sur Internet » se trouve dans l’interface FritzOS sous Internet &gt ; Données d’accès &gt ; Serveur DNS.

(Image : AVM)

Remède : Si l’on continue à accorder de l’importance à une communication DNS cryptée et fiable, il ne faut pas désactiver la vérification des certificats ni autoriser un fallback sur la communication DNS non cryptée. Le moyen le plus simple de s’en sortir est de supprimer le résolveur DNS muet actuel de la liste. Ensuite, la résolution DNS devrait à nouveau fonctionner sans problème. Il se peut que la Fritzbox ait encore besoin d’un redémarrage pour se remettre sur pied.

Le problème de Cloudflares ne devrait être que de nature temporaire. Nous avons informé l’entreprise et lui avons demandé de prendre position. Diverses listes de résolveurs accessibles au public circulent sur Internet, que l’on peut inscrire à la place du résolveur Cloudflare. La liste des développeurs DNS-Privacy qui travaillent à la standardisation de la technique est à recommander.

Si l’on veut par la suite réinscrire le résolveur Cloudflare, il est recommandé de le vérifier d’abord. Cela se fait par exemple avec la commande OpenSSL :

echo | openssl s_client -connect 'example.com:853'

Par exemple.com, on entend le domaine du résolveur que l’on souhaite vérifier (par ex. dns11.quad9.net), 853 est le numéro de port sous lequel les résolveurs DNS-over-TLS répondent normalement. Si le résolveur répond, la commande doit fournir le certificat du serveur. Dans le cas contraire, OpenSSL signale « operation timed out » après un certain temps.

Mais ce n’est qu’un test de connexion approximatif au niveau TLS et non un test de fonctionnement complet. Les utilisateurs Linux, BSD et Mac peuvent utiliser l’outil kdig pour résoudre des noms de domaine concrets. kdig fait partie de la boîte à outils knot-dnsutilsque l’on peut installer avec les gestionnaires de paquets courants (par ex. apt ou homebrew). Il est ainsi possible de tester si un résolveur résout les requêtes DNS :

kdig @example.com ct.de +tls

Par exemple.com, on entend à nouveau le domaine du résolveur que l’on souhaite tester (p. ex. cloudflare-dns.com). Suit ensuite le nom d’un domaine que l’on souhaite faire résoudre par le résolveur (par ex. ct.de). Avec le commutateur +tls, on configure kdig pour qu’il communique avec le résolveur de manière cryptée TLS. Si le résolveur fonctionne, il devrait fournir la réponse 193.99.144.80 pour ct.de.

Plus d'articles