Utiliser le DNS over HTTPS ou DoH.

Après le DNS menteur, voici le DNS over HTTPS (DoH). C’est un protocole permettant d’effectuer une résolution DNS (Domain Name System) à distance via le protocole HTTPS. L’un des objectifs de la méthode est d’accroître la confidentialité et la sécurité des utilisateurs en empêchant les écoutes clandestines et la manipulation des données DNS par des attaques de type man-in-the-middle.

Comment ça fonctionne ?

 Les requêtes DNS sont actuellement effectuées en claires. Ce qui pose de gros problèmes de confidentialité et de sécurité. Les gouvernements utilisent les DNS menteurs pour effectuer une censure et les pirates informatiques utilisent les routeurs infectés pour rediriger le trafic vers l’endroit qu’ils veulent et les FAI l’utilisent pour limiter l’accès en fonction de l’abonnement.

Explication du DNS over HTTPS ou DoH

Le protocole DNS fonctionne en prenant le nom de domaine qu’un utilisateur saisit dans son navigateur et en envoyant une requête à un serveur DNS pour connaître l’adresse IP du serveur Web (un nom est plus facile à retenir qu’une suite de chiffre) qui héberge ce site. Même principe pour le DNS chiffré. Sauf que la requête est envoyée à un serveur DNS compatible et qu’elle est chiffrée via HTTPS sur le port 443, plutôt qu’envoyée en clair sur le port 53.

Via le protocole DoH les requêtes DNS ne sont plus consultable via un organisme tiers ou via votre FAI, donc plus de ciblage publicitaire et plus de censure (en théorie). Tout ceci est meilleur pour votre vie privée.

Attention !!! Bien entendu, la personne qui exploite votre résolveur DoH aura une visibilité totale de vos requêtes DNS, vous devez donc décider si vous faites plus confiance à Google et à Cloudflare qu’à votre fournisseur d’accès Internet.

Voici une autre infographie qui peut représenter le fonctionnement du DoH :

Infographie sur le DNS over HTTPS ou DoH

Comment activer le mode DoH sous Firefox 

Pour activer ce mode sous Firefox vous devez cliquer sur Préférences

Comment activer le mode DoH sous Firefox

Puis aller jusqu’en bas de l’écran et cliquer sur Paramètres de la section Paramètres réseau.

Comment activer le mode DoH sous Firefox

 

Puis cliquer sur Activer le DNS via HTTPS (1) et sélectionner un résolveur compatible ou saisissez une adresse IP de DNS DoH que vous connaissez (2).

Maintenant vous devez faire un test, pour vérifier que vos requêtes DNS soient bien chiffrées. Cliquer sur ce lien : Check Secure DNS and Encrypted SNI.

Server Name Indication ou SNI

Check Secure DNS and Encrypted SNI

Tout devrait être vert, sauf Encrypted SNI. Mais qu’est-ce que c’est encore que ce machin! Déjà vos requêtes DNS sont chiffrées mais votre nom d’hôtes machine est encore visible.

Server Name Indication ou SNI

Le SNI (Server Name Indication) permet de configurer plusieurs certificats SSL sur un seul serveur et une adresse IP. Lorsqu’un client initie une connexion TLS, le protocole SNI peut reconnaître avec quels serveurs virtuels il veut communiquer et lui envoie le certificat SSL/TLS approprié pour le domaine. Les anciens navigateurs et OS comme Windows XP ne prennent pas en charge le SNI. Le serveur ne détecte pas le domaine demandé et il ne fournit pas le bon certificat.

En bref, le SNI est ce qui expose le nom d’hôte du serveur sur lequel vous vous connectez lorsque vous établissez une connexion, y compris TLS.

Check Secure DNS and Encrypted SNI

Avec une SNI, le nom d’hôte du serveur est inclus dans le handshake TLS, ce qui permet aux sites en HTTPS d’avoir des certificats TLS uniques, même sur une adresse IP partagée.

Activer le chiffrement SNI sous Firefox

Dans le champ réservé à l’URL, taper la commande suivante :

# about :config

Puis dans le champ de recherche taper le nom du paramètre ci-dessous et passer sa valeur à True :

# network.security.esni.enabled

Activer le chiffrement SNI sous Firefox

Puis refaite un test sur Cloudfare après avoir redémarré votre navigateur.

Activer le chiffrement SNI sous Firefox

Attention !!! A ce jour il me semble que ni Chrome, ni Safari soit compatible avec le SNI.

Activer le DoH sur Chrome 

Dans Chrome, il faut aller dans Paramètres -> Contrôle de sécurité -> Sécurité -> Paramètres avancés -> Utilisé un DNS Sécurisé, puis sélectionner un des DNS disponible.

 

Activer le DoH sur Chrome

Puis refaite un test sur Cloudfare. Tout doit être vert sauf SNI, qui n’est pas encore compatible avec Chrome.

Activer le DoH sur Chrome 

D’autres serveurs DNS compatibles DoH

Vous trouverez une autre liste de serveurs DNS DoH à cette adresse : DNS over HTTPS.

Attention !!! En plus de l’adresse de serveur DoH, il est IMPERATIF d’utiliser aussi le serveur DNS associé à ce service dans les paramètres TCP/IP de votre machine pour bénéficier notamment du DNSSEC.

Pour être sécurisé au maximum avec Cloudfare vous devez utiliser l’adresse :

Firefox permet de personnaliser l’adresse du serveur DoH.

Firefox permet de personnaliser l’adresse du serveur DoH.

Hormis Cloudfare je n’ai pas trouvé d’autres serveurs DNS compatibles DoH totalement hermétique. Donc si vous avez d’autres serveurs DoH je les accepte avec plaisir.

Pour résoudre des problèmes de connexion à un site Internet, il vous sera peut-être demandé de vider votre cache DNS, vous pouvez consulter ce tutoriel pour savoir comment faire : Vider le cache DNS de votre MAC.

Signature manuelle Guillaume

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *