Google Public DNS prend en charge DNS-over-TLS: mais vous ne pouvez probablement pas l'utiliser pour le moment

Google révélé la semaine dernière, il a ajouté la prise en charge de la fonction de confidentialité DNS-over-TLS au service DNS public de l'entreprise, Google Public DNS.

Google a lancé Google Public DNS en 2009 à un moment où de nombreuses sociétés Internet ont commencé à prendre le train en marche DNS. Certaines entreprises ont de nouveau quitté l'activité DNS, Symantec a retiré Norton ConnectSafe (DNS) en 2018 , tandis que d'autres comme Cloudflare , Verisign , DNS Quad9 ou DNS AdGuard lancé ces dernières années.

Google affirme que son service est «le plus grand résolveur récursif de DNS (Domain Name Server) public au monde»; il transforme les noms de domaine en adresses IP nécessaires à la communication sur Internet.

DNS-over-TLS et DNS-over-HTTPS sont deux approches pour rendre les requêtes DNS plus privées à l'aide du chiffrement. L'une des principales différences entre les deux implémentations est le port utilisé. DNS-over-TLS utilise le port 853, DNS-over-HTTPS le port HTTPS standard 443.

google public dns

Mozilla a commencé à expérimenter avec DNS sur HTTPS dans les versions de développement récentes de Firefox déjà, et il est probable que d'autres fabricants de navigateurs et fournisseurs de DNS commenceront également à prendre en charge ces fonctionnalités de confidentialité.

Google a mis en œuvre la spécification DNS-over-TLS décrite dans RFC7766 .et des suggestions pour améliorer la mise en œuvre; La mise en œuvre de Google utilise TLS 1.3 et prend en charge l'ouverture rapide TCP et le pipelining.

La plupart des experts conviendraient probablement que le cryptage du DNS pour améliorer la confidentialité et la sécurité, par exemple contre la falsification, est bénéfique et souhaitable.

Le principal problème avec la mise en œuvre de Google à ce stade est qu'elle n'est pas largement disponible. Il est pris en charge sur les appareils Android 9 uniquement à l'époque officiellement, et en tant que résolveur tronqué pour Linux.

Les directives de mise en œuvre de Google soulignent pour Windows et Mac OS X que les systèmes d'exploitation ne prennent pas en charge DNS-over-TLS par défaut. La seule option à ce stade pour ajouter une prise en charge serait de configurer un résolveur de proxy selon Google.

Les utilisateurs de Windows peuvent utiliser quelque chose comme DNSCrypt simple pour crypter le trafic DNS

Mots de clôture

Les utilisateurs qui utilisent Google DNS bénéficient déjà de la mise en œuvre par Google du DNS sur TLS à condition qu'il soit pris en charge sur leurs appareils ou configuré à l'aide de proxys. Les utilisateurs qui ne font pas confiance à Google ou qui ne souhaitent pas envoyer tout leur trafic DNS à Google ne commenceront pas à utiliser Google Public DNS car le chiffrement ne change pas cela.

Maintenant, c'est à votre tour: Quel fournisseur DNS utilisez-vous et pourquoi?