[gull] Le DNS, mon meilleur ennemi [was : Suite et fin]

[Julien Escario]

Bonsoir,
Alors pour IP, c'est fait. Je ne vois rien à rajouter si ce n'est que c'est un
système conçu pour des réseaux de quelques centaines de machines qui en supporte
plusieurs millions aujourd'hui ... étonnement, ça marche.

Concernant DNS, Marc et moi avons eu l'occasion d'en parler dans le train
aujourd'hui et il ne semble pas d'accord avec moi. De toute façon, je sais bien
qu'il ne m'aime pas, je suis trop talentueux, ca lui demande des efforts de
modestie ;-)
Plus sérieusement, DNS est un système simple, certes mais qui me fait plutôt
l'effet d'une pieuvre géante en liberté.
1) Le système est entièrement tenu par les U.S. c.f. les récents débats sur la
société de l'information à Tunis.
2) Plus particulièrement par une soit-disante  association appellée l'ICANN qui
mandate des prestataires pour les extensions internationales (.com, .net, .org,
...) et plus particulièrement Verisign, société on ne peux plus commerciale qui
fait régulièrement n'importe quoi (dernier en date : site finder qui dirigeait
tous les noms de domaines non enregistrés sur leur site)
3) On a rajouté, par dessus, au fil du temps, tout un tas d'extensions plus ou
moins pratiques.
4) Beaucoup d'implémentations ne respectent pas le standard. Exemple typique :
le résolveur de Windows qui réécrit les temps de vie comme il a envie.
5) Une erreur est indebugable. Par exemple : je monte mon serveur web qui pointe
un domaine sur une IP. Rien n'empêche le fournisseur X de réécrire partiellement
ou totalement mes défitions pour ses clients, je n'ai aucun pouvoir sur ce qu'il
fait avec son résolveur. C'est le problème des réponses non "authoritative" (une
idée de traduction ?). Il est donc possible que tout d'un coup, un client n'ai
plus accès à un site (service) à cause d'un "cache poisoning", qu'il va répandre
en plus.
6) Non sécurisé. Encore qu'un bidouillage appellé DNSSEC semble possible. Je
n'ai jamais fait et je doute que beaucoup de monde le supporte.
7) Une latence d'environ 12h pour la propagation des changements faits sur une
zone (et jusqu'à 48h des fois !)

Maintenant, il est vrai que c'est un système qui tient depuis des années, dont
on ne pourrait pas se passer et qui est standardisé officiellement.
Et surtout, c'est fortement hiérarchisé, ce qui induit cette situation de
monopole décrite plus haut.

Maintenant, ce n'est que mon avis mais j'ai déjà eu tellement de problèmes que
j'évite tout implémentation exotique et m'en tiens à des déclarations tout à
fait standard.

Marc, un commentaire ?

Julien Escario

P.S. : oui, je sais, c'est un peu long, probablement à cause de l'heure.

Philippe Ney a écrit :
> [...]
>> Difficile à dire comme ça. Le système DNS est vraiment une horreur. Ca
>> tient  avec des bouts de ficelles depuis des années (encore pier qu'IP)
>> mais qui a fait  ces preuves et est indéboulonnable. On commence même à
>> l'utiliser pour des  systèmes annexes (SPF, ENUM, GPS, ...) ce qui, AMHA
>> ne promet pas d'heures  glorieuses pour les gens qui vont débugger les
>> problèmes de cache, les nons  respects du standard, les systèmes dits
>> dynamiques, etc ...
> 
> 
> Bonjour,
> 
> Ne connaissant pas bien le protocole DNS, je serais assez intéressé à
> savoir pourquoi celui-ci est-il une horreur ?
> 
> Et également à savoir en quoi IP est-il mauvais.
> 
> 
> Philippe
> _______________________________________________
> gull mailing list
> gull at lists.alphanet.ch
> http://lists.alphanet.ch/mailman/listinfo/gull