DNS over HTTPS : Chiffrez Vos Requêtes DNS

Le DNS traditionnel transmet les requêtes en clair sur le port UDP 53. Cela signifie que votre FAI, un administrateur réseau, ou tout attaquant sur le chemin peut voir quels sites vous consultez, même si ces sites utilisent HTTPS. DNS over HTTPS (DoH) résout ce problème en encapsulant les requêtes DNS dans des connexions HTTPS chiffrées, les rendant indiscernables du trafic web normal.

Depuis 2018, DoH s'est rapidement déployé : Firefox, Chrome, Edge et Safari le supportent nativement. Windows 11 et les dernières versions d'iOS/Android l'intègrent au niveau système. Les grands résolveurs publics (Cloudflare 1.1.1.1, Google 8.8.8.8, Quad9) offrent tous des endpoints DoH.

DoH n'est pas sans controverse : il centralise le DNS vers quelques gros acteurs, peut compliquer le contrôle parental et la sécurité d'entreprise, et certains le voient comme une menace pour la souveraineté réseau. Comprendre ses avantages et limites vous aidera à décider s'il convient à votre usage.

Comment Fonctionne DoH

DNS over HTTPS encapsule le protocole DNS dans HTTPS :

• Transport HTTPS : Les requêtes DNS sont envoyées via HTTP/2 ou HTTP/3 sur le port 443, chiffrées par TLS. Impossible de distinguer une requête DoH d'une visite web normale.
• Format des requêtes : Les requêtes peuvent être envoyées en GET (DNS wire format encodé base64 dans l'URL) ou POST (corps binaire). Le serveur répond avec le format DNS standard.
• Résolveurs DoH : Des serveurs spécialisés exposent des endpoints HTTPS (ex: https://cloudflare-dns.com/dns-query). Ils reçoivent la requête chiffrée, résolvent le DNS, et retournent la réponse.
• Validation certificat : Comme toute connexion HTTPS, le client vérifie le certificat du serveur DoH. Cela empêche les attaques man-in-the-middle sur la résolution DNS elle-même.

Avantages du DNS over HTTPS

DoH apporte plusieurs bénéfices significatifs :

• Confidentialité : Votre FAI ne peut plus voir quels domaines vous résolvez. Protège contre la surveillance de masse et le profilage basé sur le DNS.
• Contournement censure : Les filtres DNS des FAI ou gouvernements ne peuvent pas bloquer sélectivement des domaines si vous utilisez un résolveur DoH externe. Le trafic ressemble à du HTTPS normal.
• Intégrité : TLS protège contre la modification des réponses en transit. Combiné avec DNSSEC, vous avez une protection complète de l'authenticité et l'intégrité.
• Performances : HTTP/2 permet le multiplexage des requêtes sur une seule connexion. Après l'établissement initial, les requêtes suivantes sont plus rapides qu'en DNS classique.

Configurer DoH sur Vos Appareils

Voici comment activer DoH selon votre plateforme :

1. Navigateurs (Firefox, Chrome, Edge) : Dans les paramètres réseau ou sécurité, activez "DNS sécurisé" ou "DNS over HTTPS" et choisissez un fournisseur (Cloudflare, Google, NextDNS, etc.).
2. Windows 11 : Paramètres > Réseau et Internet > [Votre connexion] > DNS. Sélectionnez un DNS connu avec DoH, Windows l'activera automatiquement.
3. iOS / macOS : Installez un profil de configuration DoH (fourni par Cloudflare, NextDNS, etc.) ou utilisez une app comme 1.1.1.1 de Cloudflare.
4. Android : Paramètres > Réseau > DNS privé. Entrez le hostname du serveur DoT (Android préfère DoT mais supporte aussi DoH via apps).

Requêtes DoH en Pratique

Voici comment tester et utiliser DoH manuellement :

# Requête DoH avec curl (méthode GET)
$ curl -s -H "accept: application/dns-json" \
    "https://cloudflare-dns.com/dns-query?name=example.com&type=A"
{
  "Status": 0,
  "Answer": [
    {"name": "example.com", "type": 1, "TTL": 3600, "data": "93.184.216.34"}
  ]
}

# Requête DoH avec curl (méthode POST, format wire)
$ echo -n "q80BAAABAAAAAAAAB2V4YW1wbGUDY29tAAABAAE=" | base64 -d | \
    curl -s -H "content-type: application/dns-message" \
    --data-binary @- https://cloudflare-dns.com/dns-query | xxd

# Endpoints DoH populaires
# Cloudflare: https://cloudflare-dns.com/dns-query
# Google:     https://dns.google/dns-query
# Quad9:      https://dns.quad9.net/dns-query
# NextDNS:    https://dns.nextdns.io/dns-query

# Test de fonctionnement via Firefox
about:networking#dns
# Montre "TRR" (Trusted Recursive Resolver) si DoH actif

# Vérification que DoH fonctionne
# https://1.1.1.1/help (Cloudflare)
# https://dnsleaktest.com/

Les requêtes DoH sont de simples requêtes HTTPS avec un content-type spécifique. Le format JSON (dns-json) est plus lisible pour le debug, le format wire (dns-message) est plus compact et utilisé par les clients réels.

Bonnes Pratiques DoH

Utilisez DoH efficacement tout en comprenant ses limites :

• Choix du résolveur : Choisissez un résolveur de confiance avec une politique de confidentialité claire. Cloudflare et Quad9 s'engagent à ne pas logger les IP. Évitez de centraliser sur un seul acteur.
• DoH + DNSSEC : DoH protège le transport, DNSSEC protège le contenu. Utilisez les deux pour une sécurité complète. Vérifiez que votre résolveur DoH valide DNSSEC.
• Entreprise : attention : DoH peut contourner vos filtres DNS de sécurité. Considérez un résolveur DoH interne ou des politiques de groupe pour contrôler les paramètres navigateur.
• Test de fuite DNS : Après configuration, utilisez dnsleaktest.com pour vérifier que toutes vos requêtes passent bien par le résolveur DoH choisi.

FAQ - DNS over HTTPS

Protégez Votre Vie Privée DNS

DNS over HTTPS est une avancée majeure pour la confidentialité sur Internet. En quelques clics, vous pouvez empêcher votre FAI et les réseaux que vous traversez de voir quels sites vous consultez.

Activez DoH sur vos appareils, choisissez un résolveur de confiance, et combinez avec DNSSEC pour une protection complète. La surveillance de vos enregistrements DNS reste importante - MoniTao veille sur votre infrastructure DNS indépendamment de DoH.

Prêt à dormir sur vos deux oreilles ?

Commencez gratuitement, sans carte bancaire.

Créer mon compte Voir les tarifs