Un site pour voir si quelqu'un a fait du typosquatting sur votre domaine.

Sous le coude: Une solution pour Linux pour avoir un fichiers hosts par utilisateur.

Tiens, encore quelques sites ajoutés à la liste noire de sites que les 4 gros fournisseurs d'accès français ont l'obligation de bloquer.
Il suffit bien sûr de ne pas utiliser les serveurs DNS de votre fournisseur d'accès pour contourner ce blocage.

Tiens... Mullvad (fournisseur de VPN) a des serveurs DNS/DOH/DOT publiques librement utilisables, dont un qui bloque la publicité et les trackers. Pratique quand vous ne pouvez pas installer un bloqueur de publicité sur un appareil. (Je fais confiance à Mullvad. C'est eux qui assurent le service de VPN de Mozilla et MalwareBytes.)

➡️ DOH/DOT :  adblock.doh.mullvad.net
➡️ 100.64.0.7
La liste de blocage est publique: https://github.com/mullvad/dns-adblock/tree/main/lists/doh/adblock

Alternativement, vous pouvez aussi utiliser:
➡️  dnsforge.de
➡️  176.9.93.198 / 176.9.1.117

ou:
➡️  dns.adguard.com
➡️  94.140.14.14 / 94.140.15.15

Notez bien sûr que cela ne sera jamais efficace à 100%. Je vous recommande chaudement de compléter par un bloqueur de publicité dans votre navigateur (uBlock-origin par exemple).
Si vous voulez éviter les publicités YouTube sous Android, vous pouvez prendre NewPipe : https://newpipe.net/

PS: Sous Android, personalDNSFilter n'étant pas compatible avec l'utilisation simultanée d'un service VPN, l'utilisation de ces services DNS vous permet de bénéficier du blocage des trackers et publicité avec le service VPN de votre choix (oui, même si ce n'est pas le VPN de Mullvad).

Ben c'est pas une bonne nouvelle :-(
(via https://suumitsu.eu/links/shaare/IHoRPQ)

Je rappelle que Valère fournit un service de DNS chiffré (DOH/DOT) librement accessible, et même un service DOH avec blocage de publicité/tracking intégré (qui utilise entre autres ma liste de blocage).

DNS sans blocage:
- IPv4 : 46.226.108.173
- IPv6 : 2001:4b98:dc2:41:216:3eff:fe16:1080
- DOT : dns.hostux.net
- DOH : https://dns.hostux.net/dns-query

DNS avec blocage publicités/trackers:
- DOH : https://dns.hostux.net/ads
(Juste dommage que le DNS bloqueur de publicité ne soit pas aussi accessible en DOT, ça serait pratique pour Android. Si vous avez besoin d'un serveur DOT avec blocage publicité/tracking, vous pouvez utiliser "dnsforge.de" ou "dns.adguard.com")

Imaginez: Vous êtes vendeur de nom de domaines, et vous essayez de vendre des domaines sur des TLD chinois dont personne ne veut. Comment faire ?
Utilisez la tactique de la peur: Vous contactez des entreprises hors de Chine en leur disant que quelqu'un essaie d'acheter le nom de domaine/nom de marque sur un TLD chinois. Par exemple sebsauvage.cn, sebsauvage.com.cn, sebsauvage.net.cn, sebsauvage.org.cn...   Voici donc le genre de mail que je reçois régulièrement :

Mail de Albert Liu <albert@chinanetregistry.org> :
« (Please kindly forward this to your CEO, because this is urgent. If you believe this has been sent to you in error, please ignore it. Thanks)
Dear CEO,
This is a formal email. We are the Domain Registration Service company in China. Here I have something to confirm with you. On May 5, 2021, we received an application from Hongwei Ltd requested "sebsauvage" as their internet keyword and China (CN) domain names (sebsauvage.cn, sebsauvage.com.cn, sebsauvage.net.cn, sebsauvage.org.cn). But after checking it, we find this name conflict with your company name or trademark. In order to deal with this matter better, it's necessary to send email to you and confirm whether this company is your distributor or business partner in China?

Best Regards

Albert Liu | Service & Operations Manager

China Registry (Head Office)

Tel: +86-02161918696

Fax: +86-02161918697

Mob: +86-13816428671

6012, Xingdi Building, No. 1698 Yishan Road, Shanghai 201103, China

*****************************************

This email contains privileged and confidential information intended for the addressee only. If you are not the intended recipient, please destroy this email and inform the sender immediately. We appreciate you respecting the confidentiality of this information by not disclosing or using the information in this email. »

Bien sûr, c'est un mensonge. Aucune entreprise n'essaie de réserver ces noms de domaine. Bien entendu, je n'ai pas été tendre dans ma réponse:

« Hello.
Do your scare tactics works to sell domains nobody wants ?
You're just a moron registrar, and I will carefuly avoid your company and expose your pathetic methods. »

_____________________________________________________________________________________________________________________________
17 mai 2021, un autre:



Mail de sandra@dsltd.org.cn:

« Dear Sir or Madam,

This matter is concening the registration of your company name "sebsauvage", please check it earnestly and forward it to the person who is in charge of your company.

I am grateful for you checking this letter out.We are an Official registrar. A few days ago, Our center received an application from Jiaxing Top Co.,Ltd and they apply to register "sebsauvage" as their brand name and some top-level domain names. Please confirm if you have approved their application.Please reply me an e-mail.Thank you.

Best Regards,

Sandra Yang
Senior Manager
Address:6/f,building 8,Qingcheng International,Daxiang District,Shaoyang Hunan, China
Tel: (+86) 0739 517 2281
Fax:(+86) 0739 517 2281 »

Oups... snafu dans le renouvellement du domaine perl.com (communauté du langage perl): Le domaine est parti à des inconnus.
Comme dit SB, petit rappel pour ne pas vous faire avoir:
« Donc rappel pour la millionième fois :
   - vérifiez regulièrement que les contacts sont à jour et lisent leur courrier (et agissent)
   - activez le renouvellement automatique
   - mieux, achetez pour plusieurs années, dans les registres qui le permettent.
   - supervisez automatiquement les domaines. »

Et j'ajouterais: Par défaut, bloquez le transfer chez votre registrar. Il y a eu quelques affaires bizarres de tranfers non autorisés via des registrars par très nets.

EDIT: Ah ben des connards essaient de revendre le domaine 190 000 dollars.
https://nakedsecurity.sophos.com/2021/01/29/the-mystery-of-the-missing-perl-webite/

EDIT: Perl a récupéré son domaine: https://nakedsecurity.sophos.com/2021/02/07/perl-com-gets-its-domain-back-normal-service-restored/

C'est quand même la grosse blague non ?
Pourquoi on utiliserait le service DNS d'une organisation dont le but est d'espionner tout le monde, qui a déjà montré par le passé qu'elle abusait très largement de ses pouvoirs, et qu'en plus elle est au service d'un gouvernement absolument pourri et dangereux ?
Pas nous, heureusement ce service ne s’adresse qu'aux fournisseurs/sous-traitants de la défense américaine.

Tout comme 1.1.1.1 (CloudFlare), 9.9.9.9 (Quad9) ou 8.8.8.8 (GoogleDNS), NextDNS propose un résolveur DNS public accessible en DOH/DOT (DNS chiffrés): https://nextdns.io/
(Mais encore une fois, rappelons-le: Cette société verra toutes vos requêtes DNS !)

Le petit plus par rapport aux autres: Vous pouvez optionnellement vous créer un compte pour:
- avoir des statistiques et des logs sur vos requêtes DNS.
- choisir ce que vous voulez bloquer:
    - vous pouvez sélectionner des listes de blocage prédéfinies (AdAway, EaysListFR, etc.)
    - vous pouvez manuellement bloquer (blacklist) ou autoriser (whitelist) des domaines ou des hosts particuliers.
    - activer le contrôle parental (blocage sites porno, etc.)
    - possibilité de bloquer sélectivement certaines applications/sites connus: Facebook, Minecraft, TikTok, WhatsApp, Roblox, Netflix...
    - etc.
- vous avez la possibilité de stocker vos logs sur des serveurs européens.
- et quelques options utiles (bloquer le DNS Local Rebinding, bloquer les domaines enregistrés depuis moins de 30 jours, bloquer les domaines parkés, blocage des domaines dynamiquement générés par les algos des malwares, etc.)

Bref... ça ressemble énormément à ce que propose OpenDNS depuis longtemps, mais avec DOH+DOT et quelques options supplémentaires sympathiques.

Donc ça peut être intéressant:
- Si vous ne voulez pas installer un PiHole chez vous.
- Si vous êtes en vadrouille.

C'est utilisable sous Windows, Linux, MacOSX, Android, etc.
Notez que sous Android 9+, c'est utilisable sans logiciel additionnel.
Sous Android, DNSFilter peut très bien être configuré pour utiliser les serveurs DNS DOH/DOT de NextDNS, offrant ainsi ceintures et bretelles (filtrage local avec la liste de votre choix + filtrage et logs par NextDNS).

Même s'ils proposent une large sélection de listes de blocage, je regrette qu'on ne puisse pas importer sa propre liste.

Bref... NextDNS peut être très utile en déplacement, ou si vous ne vous sentez pas d'installer un PiHole ou autre filtrage DNS vous-même.

EDIT: NextDNS est désormais payant au delà d'un certain trafic.

Dans ma liste de blocage DNS (https://sebsauvage.net/wiki/doku.php?id=dns-blocklist), parmis les sources j'utilisais https://hosts-file.net/ad_servers.txt
C'était une liste de domaines liés à la publicité. Mais cette liste n'est désormais plus maintenue. Dommage.
Je l'ai remplacée - à titre expérimental - par la liste 1Hosts. Ma liste de blocage a été regénérée avec cette nouvelle source.
N'hésitez pas à me dire si vous voyez des problèmes: https://sebsauvage.net/wiki/doku.php?id=dns-blocklist

Oh tiens c'est bien ça: La nouvelle version de DNSFilter sous Android fait désormais la résolution CNAME récursive.
Ça devrait permettre de bloquer plus de trackers first-party (enfin du moins ceux dont le CNAME pointe vraiment vers un tracker).
https://f-droid.org/fr/packages/dnsfilter.android/

Un proxy DNS qui permet de faire, en sortant, du chiffrement. À installer sur votre réseau local et faire pointer vos machines dessus.
(merci à @Orezzo@mamot.fr)

Ouais ça c'est le truc qui me facepalm à chaque fois: La plupart des domaines ont un TTL configuré entre 0 et 5 minutes.
5 MINUTES BORDEL.
Vous changez d'IP si souvent que ça ???
C'est pour ça que dans mon serveur DNS local (Unbound) je force le TTL à 24 heures. Ça évite les requêtes DNS inutiles.

Sous le coude: un proxy DNS qui sait faire du chiffrement. Il fait aussi cache, filtrage, redirections et peut même faire du filtrage en fonction des heures.
Des binaires sont fournis pour divers OS.
Sources: https://github.com/DNSCrypt/dnscrypt-proxy

Les fournisseurs d'accès britanniques ont classé Mozilla dans la catégorie "grands méchants 2019" pour avoir proposé le chiffrement DNS dans son navigateur (ce qui leur rend le filtrage DNS impossible).
J'ai juste envie de dire: Bien fait pour vous, grosse bande de connards.
Et merci Mozilla.
Et on peut être certain que plus les technologies avancent pour nous protéger, plus elles seront combattues par les gouvernements et fournisseurs d'accès. On le voit déjà avec le chiffrement de bout en bout, et avec le chiffrement DNS.
EDIT: Oups ah là là mais en fait c'était pas vraiment pour de vrai, voilà, les paroles sont allées plus vite que la pensée, tout ça.... https://www.theregister.co.uk/2019/07/10/ispa_clears_mozilla/

Comparaison (vitesse de réponse, chiffrement) de plusieurs DNS publiques.
(J'avais déjà mentionné cet article en 2016, mais l'auteur a mis à jour son article avec de nouveaux tests.)

J'ai listé ici les principaux résolveurs DNS alternatifs (Quad9, CloudFlareDNS, GoogleDNS, etc.), plus particulièrement avec la forme (entreprise, association...) et la juridiction dont elle dépend (USA, France...), car cela a son importance.
Ça vous laisse le choix.

Tuto pour utiliser Unbound comme serveur de cache DNS local, et surtout s'arranger pour qu'en sortant il fasse du DNS-over-TLS.

Serveur DNS ouvert: 80.67.188.188
EDIT: Voir https://sebsauvage.net/links/?UsvQBQ

Sous le coude: un vendeur de noms de domaine qui met l'accent sur la protection de l'identité et la vie privée des acheteurs de domaines.
Ça peut être utile.
Note: Selon les registry (donc selon les TLD: .com/.net/.eu/.fr...) les règles de confidentialité et de diffusion des identités dans les registres DNS diffèrent.
Votre nom, prénom, adresse et téléphone peuvent se retrouver exposés.

Si depuis la dernière mise à jour de Linux unbound ne semble plus fonctionner:
>nslookup google.fr 127.0.0.1
** server can't find google.fr: SERVFAIL

C'est un soucis au niveau des clés root DNS (probablement le fichier /var/lib/unbound/root.key qui a disparu, ou alors il ne correspond pas aux serveurs DNS vers lesquels vous forwardez).
Vous devriez voir dans syslog:
   Mar 08 08:50:12 mycomputer unbound: [2060:0] info: failed to prime trust anchor -- DNSKEY rrset is not secure . DNSKEY IN

Solution bourrin: désactiver DNSSEC.

Dans votre conf unbound, dans la section "server:", ajoutez une ligne:
domain-insecure: *

Et dans /etc/unbound/unbound.conf.d/root-auto-trust-anchor-file.conf, commentez la ligne:
   #auto-trust-anchor-file: "/var/lib/unbound/root.key"

Puis un petit:
sudo service unbound restart

et ça devrait être reparti...

EDIT: Si vous voulez garder DNSSEC, regardez du côté de unbound-anchor : https://www.cambus.net/dnssec-validation-at-the-router-level-with-openwrt/

Cet article vous montre que les "simples" requêtes DNS qui sortent de votre machine en disent déjà long sur vous: opinions politiques, soucis de santé, orientation sexuelle, endroit où vous comptez passer vos vacances... on peut en déduire un grand nombre de choses.
Alors évitez de donner toutes ces informations à Google en utilisant leurs serveurs DNS. Évitez aussi ceux d'OpenDNS (désormais aux mains de Cisco). Et arrêtez de conseiller à tout le monde d'utiliser ces serveurs.

Quoi faire ?
1) Déjà, utiliser ceux de FDN, gérés par des gens bien, et non censurés: https://www.fdn.fr/actions/dns/
2) Ensuite réduire la quantité de requêtes DNS qui sortent de votre machine (par exemple en installant unbound sous Linux: http://sebsauvage.net/wiki/doku.php?id=mint_customization_17_3#installer_un_cache_dns_local_unbound )

Oui la technologie c'est compliqué, et il est difficile d'expliquer au profane tout ce qui peut laisser fuiter sa vie privée. Pas évident d'expliquer l'importance de ne pas utiliser les DNS de Google, ou encore des choses plus obscures comme les risques de WebRTC ou les supercookies.  *soupir*

Ah soyez gentils, si vous êtes sous Linux, installez unbound pour décharger les serveurs DNS de FDN, ça sera sympa.

La clé racine des DNS va être changée. C'est pas le moment de se merder.
(J'imagine l'horrible pression sur les gars qui participent à la cérémonie de signature des clés.)

Un site qui recense les domaines qui vont ou ont expiré, à quelques heures près:
- L'onglet "Expired" montre les domaines sur le point d'expirer, et dans combien de temps.
- L'onglet "Dropped" montre les domaines qui viennent d'expirer, et depuis combien de temps.