Qu'est-ce que DNS-Over-HTTPS et comment l'activer sur votre appareil (ou navigateur)

Essayez Notre Instrument Pour Éliminer Les Problèmes

DNS-over-HTTPS (Secure DNS) est une nouvelle technologie qui vise à sécuriser la navigation Web en cryptant la communication entre l'ordinateur client et le serveur DNS.

Cette nouvelle norme Internet est largement adoptée. La liste d'adoption comprend Windows 10 (version 2004), Android 9 Pie, Google Chrome, Mozilla Firefox, Microsoft Edge, Opera et Vivaldi pour n'en nommer que quelques-uns.

Dans cet article, nous discuterons des avantages et des inconvénients de DNS-over-HTTPS et comment activer ce protocole dans vos appareils.

Nous verrons également comment tester si DoH est activé pour vos appareils ou non.

Commençons. Résumé rapide cacher 1 Une explication simple de DNS-over-HTTPS et de son fonctionnement 2 Avantages et inconvénients du DNS sur HTTPS 2.1 DoH ne permet pas une confidentialité complète de l'utilisateur 2.2 DoH ne s'applique pas aux requêtes HTTP 2.3 Tous les serveurs DNS ne prennent pas en charge DoH 2.4 DoH sera un casse-tête pour les entreprises 3 L'utilisation de DNS-over-HTTPS ralentit-elle la navigation ? 4 Comment activer ou désactiver DNS-over-HTTPS sur Windows 10 4.1 Utilisation du registre Windows 4.2 Utilisation de la stratégie de groupe 4.3 Utilisation de PowerShell (ligne de commande) 5 Comment activer ou désactiver DNS-over-HTTPS dans vos navigateurs 5.1 Activer DNS sur HTTPS dans Google Chrome 5.2 Activer DNS sur HTTPS dans Mozilla Firefox 5.3 Activer DNS sur HTTPS dans Microsoft Edge 5.4 Activer DNS sur HTTPS dans le navigateur Opera 5.5 Activer DNS sur HTTPS dans le navigateur Vivaldi 6 Comment activer DNS-over-HTTPS dans Android 7 Comment vérifier si vous utilisez DNS-over-HTTPS ? 8 Liste des serveurs de noms prenant en charge DoH

Une explication simple de DNS-over-HTTPS et de son fonctionnement

DNS-over-HTTPS (DoH) est un protocole de cryptage des requêtes DNS entre votre ordinateur et le serveur DNS. Il a été introduit pour la première fois en octobre 2018 ( IETF RFC 8484 ) dans le but d'accroître la sécurité et la confidentialité des utilisateurs.

Les serveurs DNS traditionnels utilisent le port DNS 53 pour la communication, tandis que DNS-over-HTTPS utilise le port HTTPS 443 pour communiquer en toute sécurité avec le client.

Veuillez noter que bien que DoH soit un protocole de sécurité, il n'empêche pas les FAI de suivre vos demandes. Il crypte simplement les données de requête DNS entre votre ordinateur et le FAI pour éviter des problèmes tels que l'usurpation d'identité, l'attaque de l'homme du milieu, etc.

Comprenons cela avec un exemple simple.

Voici comment fonctionne le DNS :

  1. Si vous souhaitez ouvrir le nom de domaine itechtics.com et le demander à l'aide de votre navigateur.
  2. Votre navigateur envoie une requête au serveur DNS configuré dans votre système, par exemple 1.1.1.1.
  3. Le résolveur DNS récursif (1.1.1.1) va sur les serveurs racines du domaine de premier niveau (TLD) (.com dans notre cas) et demande les serveurs de noms d'itechtics.com.
  4. Ensuite, le serveur DNS (1.1.1.1) se rend sur les serveurs de noms d'itechtics.com et demande l'adresse IP du nom DNS d'itechtics.com.
  5. Le serveur DNS (1.1.1.1) transmet ces informations au navigateur et le navigateur se connecte à itechtics.com et obtient une réponse du serveur.

Toute cette communication de votre ordinateur vers le serveur DNS vers les serveurs DNS TLD vers les serveurs de noms vers le site Web et inversement se fait sous la forme de simples messages texte.

Cela signifie que n'importe qui peut surveiller votre trafic Web et savoir facilement quels sites Web vous ouvrez.

DNS-over-HTTPS crypte toutes les communications entre votre ordinateur et le serveur DNS, ce qui le rend plus sûr et moins sujet aux attaques de type man-in-the-middle et autres attaques d'usurpation d'identité.

Comprenons cela avec un exemple visuel :

Lorsque le client DNS envoie des requêtes DNS au serveur DNS sans utiliser DoH :

DNS sur HTTPS non activé

Lorsqu'un client DoH utilise le protocole DoH pour envoyer le trafic DNS au serveur DNS compatible DoH :

DNS sur HTTPS activé

Ici, vous pouvez voir que le trafic DNS du client vers le serveur est crypté et personne ne sait ce que le client a demandé. La réponse DNS du serveur est également cryptée.

Avantages et inconvénients du DNS sur HTTPS

Alors que DNS-over-HTTPS remplacera lentement le système DNS hérité, il présente ses propres avantages et problèmes potentiels. Discutons de certains d'entre eux ici.

DoH ne permet pas une confidentialité complète de l'utilisateur

DoH est présenté comme la prochaine grande innovation en matière de confidentialité et de sécurité des utilisateurs, mais à mon avis, il se concentre uniquement sur la sécurité des utilisateurs et non sur la confidentialité.

Si vous savez comment fonctionne ce protocole, vous saurez que DoH n'empêche pas les FAI de suivre les requêtes DNS des utilisateurs.

Même si le FAI n'est pas en mesure de vous suivre à l'aide du DNS parce que vous utilisez un autre fournisseur DNS public, de nombreux points de données sont toujours ouverts aux FAI pour le suivi. Par exemple, Champs d'indication de nom de serveur (SNI) et Connexions OCSP (Online Certificate Status Protocol) etc.

Si vous souhaitez plus de confidentialité, vous devriez consulter d'autres technologies telles que DNS-over-TLS (DoT), DNSCurve, DNSCrypt, etc.

DoH ne s'applique pas aux requêtes HTTP

Si vous ouvrez un site Web qui ne fonctionne pas avec SSL, le serveur DoH reviendra à la technologie DNS héritée (DNS-over-HTTP) également connue sous le nom de Do53.

Mais si vous utilisez une communication sécurisée partout, DoH est certainement mieux que d'utiliser les technologies DNS bare metal anciennes et non sécurisées.

Tous les serveurs DNS ne prennent pas en charge DoH

Il existe un grand nombre de serveurs DNS hérités qui devront être mis à niveau pour prendre en charge DNS-over-HTTPS. Cela prendra beaucoup de temps pour une adoption à grande échelle.

Tant que ce protocole n'est pas pris en charge par la plupart des serveurs DNS, la plupart des utilisateurs seront obligés d'utiliser les serveurs DNS publics proposés par les grandes organisations.

Cela entraînera davantage de problèmes de confidentialité, car la plupart des données DNS seront collectées dans quelques emplacements centralisés dans le monde.

Un autre inconvénient de l'adoption précoce de DoH est que si un serveur DNS mondial tombe en panne, il déclenchera la majorité des utilisateurs utilisant le serveur pour la résolution de noms.

DoH sera un casse-tête pour les entreprises

Bien que DoH améliorera la sécurité, ce sera un casse-tête pour les entreprises et les organisations qui surveillent les activités de leurs employés et utilisent des outils pour bloquer les parties NSFW (non sûres pour le travail) du Web.

Les administrateurs réseau et système auront du mal à faire face au nouveau protocole.

L'utilisation de DNS-over-HTTPS ralentit-elle la navigation ?

Il y a deux aspects de DoH à rechercher lors du test des performances par rapport au protocole Do53 hérité :

  1. Performances de résolution de noms
  2. Performances de chargement des pages Web

Les performances de résolution de noms sont la métrique que nous utilisons pour calculer le temps qu'il faut au serveur DNS pour nous donner l'adresse IP du serveur requise du site Web que nous voulons visiter.

Les performances de chargement des pages Web sont la mesure réelle de savoir si nous ressentons un ralentissement lorsque nous naviguons sur Internet à l'aide du protocole DNS-over-HTTPS.

Ces deux tests ont été effectués par samknows et le résultat final est qu'il y a une différence de performances négligeable entre DNS-over-HTTPS et les anciens protocoles Do53.

Vous pouvez lire le étude de cas de performance complète avec statistiques chez samknows .

Voici les tableaux récapitulatifs pour chaque métrique que nous avons définie ci-dessus. (Cliquez sur l'image pour l'agrandir)

Test de performances de résolution de noms Tableau des performances des FAI DoH vs Do53

Tableau des performances des FAI DoH vs Do53

Test de performance de chargement de page Web Performances de chargement des pages Web DoH vs Do53

Performances de chargement des pages Web DoH vs Do53

Comment activer ou désactiver DNS-over-HTTPS sur Windows 10

Windows 10 Version 2004 viendra avec DNS-over-HTTPS activé par défaut. Ainsi, une fois que la prochaine version de Windows 10 est publiée et que vous effectuez une mise à niveau vers la dernière version, il ne sera plus nécessaire d'activer DoH manuellement.

Cependant, si vous utilisez Windows 10 Insider Preview, vous devrez activer DoH manuellement en utilisant les méthodes suivantes :

Utilisation du registre Windows

  1. Aller à Exécuter -> regedit . Cela ouvrira l'Éditeur du Registre Windows.
  2. Ouvrez la clé de registre suivante :
    HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesDnscacheParameters
  3. Faites un clic droit sur Paramètres dossier et sélectionnez Nouveau -> DWORD (32 bits) Valeur.
  4. Nomme le Activer AutoDoh .
  5. Définissez la valeur de l'entrée EnableAutoDoh sur 2 .

Vous devrez redémarrer l'ordinateur pour que les modifications prennent effet.

Veuillez noter que cette modification ne prendra effet que lorsque vous utilisez les serveurs DNS qui prennent en charge DNS-over-HTTPS. Ci-dessous vous trouverez un liste des fournisseurs DNS publics qui prennent en charge DoH .

Les versions antérieures de Windows 10, y compris les versions 1909 et 1903, ne prennent pas en charge DoH par défaut.

Utilisation de la stratégie de groupe

Je garde cette section pour une utilisation future. À l'heure actuelle, il n'existe aucune règle de stratégie de groupe pour DNS-over-HTTPS. Nous remplirons les étapes lorsque Microsoft les rendra disponibles pour Windows 10 Version 2004.

Utilisation de PowerShell (ligne de commande)

Je garde cette section pour une utilisation future. Si Microsoft fournit un moyen d'activer ou de désactiver DoH à l'aide de la ligne de commande, nous énumérerons les étapes ici.

Comment activer ou désactiver DNS-over-HTTPS dans vos navigateurs

Certaines applications prennent en charge le contournement du serveur DNS configuré par le système et utilisent plutôt DNS-over-HTTPS. Presque tous les navigateurs modernes prennent déjà en charge DoH ou prendront en charge le protocole dans un avenir proche.

Activer DNS sur HTTPS dans Google Chrome

  1. Ouvrez Google Chrome et accédez à l'URL suivante :
    chrome://settings/security
  2. Sous Sécurité avancée , activer Utiliser un DNS sécurisé .
  3. Après avoir activé le DNS sécurisé, il y aura deux options :
    • Avec votre fournisseur de services actuel
    • Avec les fournisseurs de services recommandés par Google

Vous pouvez sélectionner ce qui vous convient. La deuxième option remplacera les paramètres DNS de votre système.

Activer le DNS sécurisé dans Google Chrome

Pour désactiver DoH, basculez simplement le Utiliser un DNS sécurisé paramètres à désactivé .

Activer DNS sur HTTPS dans Mozilla Firefox

  1. Ouvrez Firefox et accédez à l'URL suivante :
    about:preferences
  2. Sous général , aller à Paramètres réseau et cliquez sur le Paramètres bouton. Ou appuyez simplement sur le ET touche du clavier pour ouvrir les paramètres.
  3. Faites défiler vers le bas et Chèque Activer DNS sur HTTPS .
  4. Dans la liste déroulante, vous pouvez choisir votre serveur DNS sécurisé préféré.

Activer DNS sur HTTPS dans Microsoft Edge

  1. Ouvrez Microsoft Edge et accédez à l'URL suivante :
    edge://flags/#dns-over-https
  2. Sélectionner Activée de la liste déroulante à côté Recherches DNS sécurisées .
  3. Redémarrez le navigateur pour que les modifications prennent effet.

Activer DNS sur HTTPS dans le navigateur Opera

  1. Ouvrez le navigateur Opera et allez dans Paramètres (Alt + P).
  2. Développer Avancée dans le menu de gauche.
  3. Sous Système, activer Utilisez DNS-over-HTTPS au lieu des paramètres DNS du système .
  4. Redémarrez le navigateur pour que les modifications prennent effet.

Les paramètres DNS sécurisés n'ont pris effet que lorsque j'ai désactivé le service VPN intégré d'Opera. Si vous rencontrez des problèmes pour activer DoH dans Opera, essayez de désactiver le VPN.

Activer DNS sur HTTPS dans le navigateur Vivaldi

  1. Ouvrez le navigateur Vivaldi et accédez à l'URL suivante :
    vivaldi://flags/#dns-over-https
  2. Sélectionner Activée de la liste déroulante à côté Recherches DNS sécurisées .
  3. Redémarrez le navigateur pour que les modifications prennent effet.

Comment activer DNS-over-HTTPS dans Android

Android 9 Pie prend en charge les paramètres DoH. Vous pouvez suivre les étapes ci-dessous pour activer DoH sur votre téléphone Android :

  1. Aller à Paramètres → Réseau et Internet → Avancé → DNS privé .
  2. Vous pouvez soit définir cette option sur Auto, soit spécifier vous-même un fournisseur DNS sécurisé.

Si vous ne parvenez pas à trouver ces paramètres sur votre téléphone, vous pouvez suivre les étapes ci-dessous :

  1. Téléchargez et ouvrez l'application QuickShortcutMaker depuis le Google Play Store.
  2. Allez dans Paramètres et appuyez sur :
    com.android.settings.Settings$NetworkDashboardActivity

Cela vous mènera directement à la page des paramètres réseau où vous trouverez l'option DNS sécurisée.

Comment vérifier si vous utilisez DNS-over-HTTPS ?

Il existe deux façons de vérifier si DoH est correctement activé pour votre appareil ou le navigateur.

Le moyen le plus simple de vérifier cela est d'aller à cette page de vérification de l'expérience de navigation cloudflare . Clique le Vérifier mon navigateur bouton.

Sous Secure DNS, vous obtiendrez le message suivant si vous utilisez DoH :|_+_|

Si vous n'utilisez pas DoH, vous obtiendrez le message suivant :|_+_|

Windows 10 version 2004 permet également de surveiller les paquets du port 53 en temps réel. Cela nous dira si le système utilise DNS-over-HTTPS ou l'ancien Do53.

  1. Ouvrez PowerShell avec des privilèges administratifs.
  2. Exécutez les commandes suivantes :
    pktmon filter remove
    Cela supprime tous les filtres actifs, le cas échéant.
    pktmon filter add -p 53
    Cela ajoute le port 53 à surveiller et à journaliser.
    pktmon start --etw -m real-time
    Cela commence par la surveillance en temps réel du port 53.

Si vous voyez beaucoup de trafic affiché dans la liste, cela signifie que l'ancien Do53 est utilisé au lieu de DoH.

Veuillez noter que les commandes mentionnées ci-dessus ne fonctionneront que sous Windows 10 Version 2004. Sinon, cela vous donnera une erreur : Paramètre inconnu « temps réel »

Liste des serveurs de noms prenant en charge DoH

Voici la liste des fournisseurs de services DNS qui prennent en charge DNS-over-HTTPS.

Fournisseur Nom d'hôte Adresse IP
AdGuarddns.adguard.com176 103 130 132
176 103 130 134
AdGuarddns-famille.adguard.com176 103 130 132
176 103 130 134
Navigation proprefamily-filter-dns.cleanbrowsing.org185 228 168 168
185 228 169 168
Navigation proprefiltre-adulte-dns.cleanbrowsing.org185.228.168.10
185.228.169.11
Cloudflareun.un.un.un
1dot1dot1dot1.cloudflare-dns.com		1.1.1.1
1.0.0.1
Cloudflaresecurity.cloudflare-dns.com1.1.1.2
1.0.0.2
Cloudflarefamily.cloudflare-dns.com1.1.1.3
1.0.0.3
Googledns.google
google-public-dns-a.google.com
google-public-dns-b.google.com		8.8.8.8
8.8.4.4
SuivantDNSdns.nextdns.io45.90.28.0
45.90.30.0
OpenDNSdns.opendns.com208.67.222.222
208.67.220.220
OpenDNSfamilyshield.opendns.com208.67.222.123
208.67.220.123
OpenDNSsandbox.opendns.com208.67.222,2
208.67.220.2
Quad9dns.quad9.net
rpz-public-resolver1.rrdns.pch.net		9.9.9.9
149 112 112 112

Bien que DNS-over-HTTPS rende le Web plus sécurisé et devrait être implémenté uniformément sur le Web (comme dans le cas de HTTPS), ce protocole va donner des cauchemars aux administrateurs système.

Les administrateurs système doivent trouver des moyens de bloquer les services DNS publics tout en permettant à leurs serveurs DNS internes d'utiliser DoH. Cela doit être fait pour que l'équipement de surveillance actuel et les politiques de restriction restent actifs dans l'ensemble de l'organisation.

Si j'ai manqué quelque chose dans l'article, faites-le moi savoir dans les commentaires ci-dessous. Si vous avez aimé l'article et appris quelque chose de nouveau, partagez-le avec vos amis et sur les réseaux sociaux et abonnez-vous à notre newsletter.