mart-e

La vie, Linux, la tartiflette...

OpenNIC et DNS (part 3)

Pour finir cette série sur les DNS, j'aimerais parler d'une alternative assez radicale : OpenNIC, un système de serveurs racines alternatifs.

Je vais parler d'OpenNIC mais ils ne sont pas les seuls à avoir eu cette idée, une liste peu être trouvée sur Wikipedia. OpenNIC est celui qui me semblait le plus abouti et intéressant (bon pas fait une étude comparative non plus mais il est vieux d'une dizaine d'année, ce qui n'est pas mal pour ce genre de service).

Histoire

Dans les années 2000, constatant que le web était dirigé par quelques entités centralisée (Internet Architecture Board, ICANN,...) et n'allait pas forcement dans une direction qu'ils aimaient, des gens ont décidés de créer un système alternatif pour aller sur web.
L'idée derrière OpenNIC était d'avoir un système totalement indépendant et gouverné par les utilisateurs (totalement démocratique).

Avec ce système, ils ont créé une série de TLD : .bbs, .dyn, .free, .fur, .geek, .gopher, .indy, .ing, .micro, .null, .oss (projets open source), .glue (lien direct avec OpenNIC), .biz (introduit avant que l'ICANN ne crée cette extension aussi), .parodie...

Fonctionnement

OpenNic fonctionne comme avec l'ICANN avec un système de root DNS distribué. La différence fondamentale est que la liste des roots est constituée par la communauté. Chaque TLD approuvé doit avoir son propre serveur root pour être ainsi résolu. La résolution d'un nom de domaine ne change pas de la façon de faire avec l'ICANN.

Si vous essayez d'atteindre un nom de domaine ayant une extension de l'ICANN, les résolveurs savent également résoudre les extensions "classiques" et vous serez redirigé vers un des 13 serveurs racines officiels.

Chaque TLD a sa propre police d'utilisation et l'on encourage les utilisateurs à créer le leur s'ils ne sont pas d'accord avec les règles des autres. La création d'un nouveau TLD est possible par vote à la majorité de la communauté.

Accès

Dans l'article sur les .42, je vous parlais du résolveur de psilo sur lequel j'étais tombé par hasard. En tout cas, ce résolveur résout à la fois les .42 et les domaines OpenNIC. Si vous mettez son IP (95.142.171.235) dans vos DNS, vous saurez résoudre les deux.

Sinon allez sur le wiki avec la liste des DNS officiels. Si vous allez sur cette page (attention, c'est un .glue donc il faut savoir résoudre ce domaine pour y arriver), vous trouverez les 4 serveurs les plus proches de vous, toujours intéressant.

Si vous avez essayé de mettre plus de 3 adresses de résolveurs DNS, vous aurez sans doute dans /etc/resolv.conf un message :

NOTE: the libc resolver may not support more than 3 nameservers.
The nameservers listed below may not be recognized.

Inutile donc d'utiliser 25 DNS, il ne tiendra compte que des trois premiers.

mart.null

Hélas grande déception, je n'ai pas réussi à enregistrer mart-e.null car le '-' est considéré comme un caractère illégal par le système... J'ai donc enregistré mart.null à la place. Seulement la journée est pleine de déceptions et je n'ai pas pu faire pointer mon nouveau nom de domaine vers ce blog car les DNS legtux ne résolvent pas OpenNIC. Ce sera pour une autre fois quand je me ferai mon petit hébergement perso.

Critique

Dès le début l'ICANN et le Internet Architecture Board ont été clairement contre les systèmes de DNS alternatifs (cf FAQ et RFC 2826).

La raison mise en avant est le fait que pour garder sa cohésion, son caractère unique. En effet si de nombreux systèmes alternatifs venaient a être créé et adoptés on pourrait imaginer quelques scénarios déplaisant (pour reprendre les exemples de l'ICANN) :
- si j'envoie un mail à tata Sally, il est important qu'il soit reçu par tata Sally. Mais avec plusieurs systèmes alternatifs, il se peut que mon mail soit reçu par tata Sally quand je suis chez moi mais par oncle Juan quand je suis au boulot. En effet si deux systèmes offrent des .truc, rien n'empêche à tata Sally de créer une adresse email moi@machin.truc sur le service A et oncle Juan de créer moi@machin.truc sur le service B...
- Si une extension est propre a un système (par exemple le .glue propre à OpenNIC), ceux qui ne gèrent pas les DNS de ce système (en gros beaucoup de monde), ne pourront pas accéder à mon site http://machin.glue.
- Une personne n'étant pas conscient de la configuration du système pourra acheter un nom de domaine http://moi.mytld car lui le résout mais n'est pas au courant que d'autres ne le résoudent pas et sans le savoir se coupe d'une partie du web.

C'est vrai je suis d'accord que cela pose un problème de fragmentation du web.

Mais voyons les choses d'un autre angle avec la situation présente. Qu'est ce qui est le plus dangereux ? Que quelques personnes créent un système alternatif de DNS ou que l'on confie nos requêtes DNS aveuglément à une organisation dont on ne sait pas grand chose du fonctionnement interne ?
Quand j'envoie un mail à sally@gmail.com, je fais confiance à mon résolveur DNS pour qu'il l'envoie bien à tata Sally. Mais qu'est ce qui l'empêche de le transmettre à juan@yahoo.com à la place ? Pas grand chose et ça c'est un problème qui a sans doute plus de chance d'arriver que d'avoir plusieurs systèmes DNS alternatifs largement adoptés.
Vous ne me croyez pas ? Quand vous tapez une url erronée, chez certains provider vous arrivez sur une page d'erreur de leur site. C'est le cas avec OpenDNS également (qui se permet d'autres libertés mise en avant comme étant des fonctionnalités).
Le filtrage des sites au niveau du DNS ? Déjà fait par certains...

OpenNIC est un chouette projet avec un aspect très geek underground façon freenet (rien ne s'opposera au net libre et tout ça) qui a d'ailleurs valu une réputation assez borderline aux deux (très bonne planque pour les gens voulant faire des choses peu recommandables sur le web). Il n'est pas prêt d'être adopté par les foules, cf les .42, sauf que là il y a encore moins de chance que Google se mettent à indexer le contenu de OpenNIC. Actuellement les gens qui enregistrement un nom de domaine via OpenNIC sont loin d'être des gens qui ne sont pas conscient du système ou au moins savent que les autres ne pourront pas accéder leur domaine.

New.net

Il existe d'autres root DNS alternatifs et New.net en fait partie. La différence fondamentale avec OpenNIC est qu'en général vous ne le voulez pas :D

Il s'agit d'une société commerciale qui propose d'accéder à des nouveaux TLD (contre rémunération évidement) en installant un plugin d'Internet explorer et a pour but de collecter des données pour ensuite les revendre (cool hein). On le trouve dans certains logiciels comme le vieux Kazaa, BearShare et autres programmes servant à une utilisation pas toujours très nette. C'est considéré comme un adware et spyware par pas mal de scan.

Pour l'anecdote sur ce superbe programme a été cité dans un procès de 2007. Aux états-unis (pourquoi il y a que là bas que ce genre de choses arrive ?), un prof a été arrêté parce que des élèves (mineurs) se sont pleins de voir des images porno apparaitre sur son pc. Après un premier jugement où il a nier en bloc en disant ne pas savoir d'où venait ces pop-up, il a été condamné à 40 ans de prison. (Et vlan dans ta gueule, on rigole pas avec le cul aux states. Moi je trouve qu'il méritait la chaise cet infâme terroriste !)
Après un deuxième jugement en appel où il a plaidé coupable pour diminuer sa peine, on lui a "juste" retiré son droit d'enseigner (sans doute que le juge était amateur de porn cette fois).
Après une analyse de son pc en profondeur, on s'est rendu compte que ces popups venait de NewDotNet...

Pour ce resolveur alternatif permet également de résoudre des nouveaux TLD style : .arts, .church, .golf, .school, .tech, .xxx (je vous laisse deviner l'utilité de ceux ci). En réalité, aller sur monsite.golf revient à aller sur monsite.golf.new.net donc on ne peut pas vraiment parler d'un système alternatif pour moi...

UnifiedRoot est un autre exemple de société commerciale qui proposait d'acheter des noms de domaines avec n'importe quelle extension pour parfois des sommes allant jusque 1000\$ d'inscription et 240\$ l'an. Là par contre on peut plus parler d'une arnaque puisque ça fait cher pour quelque chose auquel que peu de monde pourra accéder.

Je pense que dans des situations comme celle-là, l'ICANN a raison de se méfier des serveurs root alternatifs. OpenNIC a une politique non commerciale avec des conditions d'utilisations bien définies et ne risque pas de poser ce genre de problème.

Article écrit en écoutant BB King

http://en.wikipedia.org/wiki/Alternative_DNS_root
http://tools.ietf.org/html/rfc2826
https://joe262.com/2010/04/13/an-exploration-of-alternate-dns-roots-part-1-some-basics/
http://www.caslon.com.au/domainsprofile6.htm