Goddag til DNS-over-HTTPS og ECDSA nøgler
Denne weekend har jeg aktiveret DNS-over-HTTPS på alle servere. Jeg ved der er mange der har ventet tålmodigt på nyt på denne front, så jeg er glad for endelig at kunne annoncere at det er klar til brug.
DNS-over-HTTPS URLs er https://anycast.censurfridns.dk/dns-query og https://unicast.censurfridns.dk/dns-query. Som altid kan de andre domæner også bruges i stedet for censurfridns.dk: censurfridns.nu, uncensoreddns.org og uncensoreddns.dk.
I samme omgang har alle serverne fået ECDSA nøgler og certifikater, som vil blive brugt til TLS i stedet for RSA nøglerne hvis din klient understøtter det. Dette betyder at du måske bliver mødt af et nyt fingerprint afhængig af din klient og opsætning. Alle offentlige nøgler kan findes på server siden og jeg har åbnet en PR til Stubby for at få tilføjet de manglende pins til deres eksempel config. Hvis du allerede bruger pins med Stubby eller andet og denne ændring har gjort at det er stoppet med at virke for dig så beklager jeg. Jeg prøver altid at undgå nedetid når det er muligt, hvis du har problemer her og nu kan du finde de pins du skal bruge i den PR der er linket ovenfor.
Denne ændring betyder også at Nginx ikke længere er i brug på DNS serverne, i stedet for bruger jeg dnsdist som terminerer både DoT og DoH nu.
Mange folk har over årene spurgt om hvordan man kan donere for at holde projektet kørende. Jeg er for nylig blevet optaget i Githubs sponsor program, så hvis du vil donere er der nu en god måde at gøre det på!
Feedback om de nye features er som altid velkomment! Jeg kan fanges på IRC, Twitter, Mastodon eller email :)
Kategorier: ecdsa doh