Après le DNS menteur, voici le DNS over HTTPS (DoH). C’est un protocole permettant d’effectuer une résolution DNS (Domain Name System) à distance via le protocole HTTPS. L’un des objectifs de la méthode est d’accroître la confidentialité et la sécurité des utilisateurs en empêchant les écoutes clandestines et la manipulation des données DNS par des attaques de type man-in-the-middle.
Comment ça fonctionne ?
Les requêtes DNS sont actuellement effectuées en claires. Ce qui pose de gros problèmes de confidentialité et de sécurité. Les gouvernements utilisent les DNS menteurs pour effectuer une censure et les pirates informatiques utilisent les routeurs infectés pour rediriger le trafic vers l’endroit qu’ils veulent et les FAI l’utilisent pour limiter l’accès en fonction de l’abonnement.
Le protocole DNS fonctionne en prenant le nom de domaine qu’un utilisateur saisit dans son navigateur et en envoyant une requête à un serveur DNS pour connaître l’adresse IP du serveur Web (un nom est plus facile à retenir qu’une suite de chiffre) qui héberge ce site. Même principe pour le DNS chiffré. Sauf que la requête est envoyée à un serveur DNS compatible et qu’elle est chiffrée via HTTPS sur le port 443, plutôt qu’envoyée en clair sur le port 53.
Via le protocole DoH les requêtes DNS ne sont plus consultable via un organisme tiers ou via votre FAI, donc plus de ciblage publicitaire et plus de censure (en théorie). Tout ceci est meilleur pour votre vie privée.
Voici une autre infographie qui peut représenter le fonctionnement du DoH :
Comment activer le mode DoH sous Firefox
Pour activer ce mode sous Firefox vous devez cliquer sur Préférences
Puis aller jusqu’en bas de l’écran et cliquer sur Paramètres de la section Paramètres réseau.
Puis cliquer sur Activer le DNS via HTTPS (1) et sélectionner un résolveur compatible ou saisissez une adresse IP de DNS DoH que vous connaissez (2).
Maintenant vous devez faire un test, pour vérifier que vos requêtes DNS soient bien chiffrées. Cliquer sur ce lien : Check Secure DNS and Encrypted SNI.
Server Name Indication ou SNI
Tout devrait être vert, sauf Encrypted SNI. Mais qu’est-ce que c’est encore que ce machin! Déjà vos requêtes DNS sont chiffrées mais votre nom d’hôtes machine est encore visible.
Server Name Indication ou SNI
En bref, le SNI est ce qui expose le nom d’hôte du serveur sur lequel vous vous connectez lorsque vous établissez une connexion, y compris TLS.
Avec une SNI, le nom d’hôte du serveur est inclus dans le handshake TLS, ce qui permet aux sites en HTTPS d’avoir des certificats TLS uniques, même sur une adresse IP partagée.
Activer le chiffrement SNI sous Firefox
Dans le champ réservé à l’URL, taper la commande suivante :
# about :config
Puis dans le champ de recherche taper le nom du paramètre ci-dessous et passer sa valeur à True :
# network.security.esni.enabled
Puis refaite un test sur Cloudfare après avoir redémarré votre navigateur.
Activer le DoH sur Chrome
Dans Chrome, il faut aller dans Paramètres -> Contrôle de sécurité -> Sécurité -> Paramètres avancés -> Utilisé un DNS Sécurisé, puis sélectionner un des DNS disponible.
Puis refaite un test sur Cloudfare. Tout doit être vert sauf SNI, qui n’est pas encore compatible avec Chrome.
D’autres serveurs DNS compatibles DoH
Vous trouverez une autre liste de serveurs DNS DoH à cette adresse : DNS over HTTPS.
Pour être sécurisé au maximum avec Cloudfare vous devez utiliser l’adresse :
- Serveur DoH dans une application comme Firefox (https://www.cloudflare.com/fr-fr/ssl/encrypted-sni/)
- L’adresse IP du serveur DNS de CloudFare dans vos paramètres TCP/IP (DNS CloudFare 1.1.1.1 et 1.0.0.1)
Firefox permet de personnaliser l’adresse du serveur DoH.
Hormis Cloudfare je n’ai pas trouvé d’autres serveurs DNS compatibles DoH totalement hermétique. Donc si vous avez d’autres serveurs DoH je les accepte avec plaisir.
Pour résoudre des problèmes de connexion à un site Internet, il vous sera peut-être demandé de vider votre cache DNS, vous pouvez consulter ce tutoriel pour savoir comment faire : Vider le cache DNS de votre MAC.