Comment activer les DNS Over HTTPS (DoH) sur Firefox, Chrome, Edge, Brave ou Opera

Les connexions DNS ne sont pas forcément sécurisées, ainsi, cela peut parfois poser des problèmes de sécurité ou de confidentialité.
Afin de renforcer la sécurité DNS, il existe beaucoup de mécanismes comme Secure DNS, DNSSEC, TLS 1.3 et le chiffrement SNI.

Cet article vous explique quels sont ces mécanismes et implications et comment sécuriser vos connexions DNS avec Chrome, Firefox, Edge, Brave ou Opera.

Table des matières

1 Introduction
2 DNSSEC, DoT, DoH : Les protocoles de sécurité DNS
3 Comment activer les DNS sécurisés les navigateurs internet avec DoT, DoHT ou DNSSec
4 Comment activer les DNS sécurisés dans Windows 10, 11
5 YoGaDNS et Simple DNSCrypt pour sécuriser les connexions DNS
6 Tester la sécurité DNS
7 Liste de serveurs sécurisés (DoH et DoT)
8 Liens

Introduction

Au moment où sont écrites ces lignes, les requêtes DNS effectuées par les navigateurs WEB ne sont pas chiffrées.
Ainsi un attaquant peut visualiser ces requêtes à travers une attaque MITM ou pire falsifier celle-ci.

Attaque MITM pour récupérer ou modifier les connexions DNS

Dans un précédent article, nous avions présenté la solution Simple DNSCrypt.
Ce dernier permet de sécuriser entière les requêtes dans Windows.
Toutefois, la mise en place peut s’avérer compliquer.

Dans cet article nous allons voir comment sécuriser ces connexions sur les navigateurs WEB.
En en effet, Il existe des solutions qui ne sont pas forcément disponibles entièrement pour plusieurs raisons :

Le navigateur WEB doit gérer ces mécanismes ce qui n’est pas le cas de tous les navigateurs WEB. Notamment Google Chrome a du retard.
Le serveur DNS utilisée doit aussi pouvoir supporter ces protocoles de sécurité.

DNSSEC, DoT, DoH : Les protocoles de sécurité DNS

L’idée est surtout d’activer le chiffrement lors des requêtes DNS.
Un peu dans le même esprit que lorsque vous passez d’un site HTTP à un site sécurisé HTTPS.

CloudFlare qui propose ses propre serveurs DNS est l’un des premiers à fournir entièrement une solution sécurisée.
Le but est donc de passer de ce schéma où le clientHello n’est pas sécurisé et peut donc livrer des informations ou être manipulés.

A celui-ci où la requête DNS est entièrement sécurisés.

Les protocoles utilisés afin de parvenir à chiffrer les DNS.

DNS-over-TLS ou DNS-over-HTTPS — Apporte le support DNS-over-TLS ou DNS-over-HTTPS qui permet le chiffrement des requêtes. Toutefois, celle-ci peut révéler le site que vous visitez.
DNSSEC — Permet d’authentifier les requêtes DNS afin de protéger contre l’empoisonnement du cache.
TLS 1.3 — La dernière version du protocole TLS qui corrige et apporte de nouvelles protections.
Chiffrement SNI (Encrypted SNI)— Active le chiffrement SNI ou ESNI qui protège de la récupération des résolutions DNS lors de l’établissement de la connexion sécurisée. Par exemple, votre FAI peut connaître les sites que vous visitez à travers les résolutions.

Plus de détails :

DNSSEC, DNS Over TLS ou HTTPS (DoT et DoH) et DNSCrypt : les différences

Ainsi certaines fonctionnalités sont plutôt pour sécuriser le surf alors que d’autres touche l’anonymisation.

Comment activer les DNS sécurisés les navigateurs internet avec DoT, DoHT ou DNSSec

Pour vérifier si ces protocoles sont actifs, CloudFlare fournit un site de test dont voici l’adresse : https://www.cloudflare.com/ssl/encrypted-sni/#

Le résultat s’affiche alors comme ici où on voit que seul DNSSEC et TLS1.3 sont bien activés.

Mozilla Firefox

Mozilla Firefox propose de configurer les paramètres DNS depuis l’interface.

Ouvre les paramètres de Firefox
Dans la partie générale, descendez tout en bas dans les paramètres réseau
Cliquez sur Paramètres

Activer DNS Over HTTPS sur Mozilla Firefox

En bas on trouve la possibilité d’activer DNS via HTTPS
CloudFlare et NetDNS sont proposés par défaut mais on peut aussi personnaliser l’adresse du serveur DNS.

Pour aller plus loin :

Sécuriser Firefox

Les réglages et options

La majorité des paramètres DNS avancés sont à effectuer dans le about:config de Mozilla Firefox.

Ouvrez un nouvel onglet pour pouvoir une nouvelle page
Ensuite dans la barre d’adresse, saisissez about:config
Enfin passez outre le message d’alerte.

L’activation du DNS over HTTPS se fait à partir du paramètre network.trr.mode d’about:config

Voici les réglages possible de network.trr.mode qui prend des valeurs de 0 à 4:

0 : DNS Over HTTPs est désactivé.
1 : Firefox utilisera le DNS natif ou TRR selon la vitesse de résolution, le plus rapide sera utilisé.
2 : Firefox utilisera par défaut TRR mais reviendra au résolution DNS natif si TRR n’arrive pas à résoudre une adresse.
3 : Firefox fonctionnera en mode TRR seulement.
4 : Firefox fonctionne en mode natif mais utilisera aussi en parallèle TRR pour de la récupération de données.

Trusted Recursive Resolver (TRR) sur Firefox

Les autres paramètres de network.trr de Firefox

network.trr.credentials — des identifiants sont envoyés sur la requête HTTPS
network.trr.wait-for-portal — Utilise le TRR seulement seulement si une détection du portail captif est OK (defaut: true)
network.trr.allow-rfc1918 — Autoriser l’adresse privée en réponse (RFC 1918) (defaut:false).
network.trr.useGET — Utilise les requêtes GET au lieu de POST (defaut:false).
network.trr.confirmationNS — Firefox vérifie un domaine par défaut pour s’assurer que le TRR fonctionne par une réponse positive (defaut: example.com).
network.trr.bootstrapAddress — Permet de régler une adresse IP pour contourner le système de résolution (defaut: none)
network.trr.blacklist-duration — Le nombre de secondes de la durée d’une entrée dans la liste noire (defaut: 259200)
network.trr.request-timeout — Règle le délai du timeout(defaut: 3000)
network.trr.early-AAAA — Firefox vérifie les entrées A et AAAA et utilisera d’abord les entrées AAA si cette préférencée est réglé à true (defaut: false)

Enfin, on active le chiffrement SNI en passant network.security.esni.enabled à true.

Activer le chiffrement SNI sur Mozilla Firefox

Enfin tout est vert ce qui indique que vos connexions DNS sont bien sécurisées.

Google Chrome

Google Chrome ne propose pas toutes les fonctionnalités actuellement.
A partir de la version 78 et 83 ont pu activer le DNS Over HTTPs depuis les paramètres cachés.
Mais on ne peut pas encore choisir le serveur.

Les versions futures le permettront.

DnsOverHttpsMode – Contrôle le mode DNS sur HTTPS
- off = Désactiver DNS sur HTTPS
- automatic = Activer DNS sur HTTPS avec repli non sécurisé
- secure = Activer DNS sur HTTPS sans repli non sécurisé
DnsOverHttpsTemplates – Spécifiez le modèle URI du résolveur DNS sur HTTPS souhaité. Le modèle d’URI du résolveur DNS sur HTTPS souhaité. Pour spécifier plusieurs résolveurs DNS sur HTTPS, séparez les modèles d’URI correspondants par des espaces.
- Si le DnsOverHttpsMode est défini sur «sécurisé», cette stratégie doit être définie et non vide.
- Si DnsOverHttpsMode est défini sur “automatique” et que cette stratégie est définie, les modèles d’URI spécifiés seront utilisés; si cette stratégie n’est pas définie, des mappages codés en dur seront utilisés pour tenter de mettre à niveau le résolveur DNS actuel de l’utilisateur vers un résolveur DoH exploité par le même fournisseur.
- Si le modèle d’URI contient une variable DNS, les demandes au résolveur utiliseront GET; sinon, les demandes utiliseront POST.

Activer le DNS Over Https sur Google Chrome

Dans les versions futures, il faudra se rendre dans les paramètres de Chrome > Confidentialité et sécurité.
En bas, on peut activer “Utiliser un serveur DNS sécurisé“.
On peut alors spécifier une adresse de serveur DNS.

L’article sera édité lorsque des mises à jour de Google Chrome apporteront des changements.
Pour aller plus loin :

Sécuriser Google Chrome contre les virus et pistage sur internet

Edge

Cliquez en haut à droite sur le bouton
puis Paramètres

Puis à gauche, cliquez sur le menu Confidentialité, recherche et services
Cliquez sur le champs Choisissez votre fournisseur de services
Puis sélectionnez entre les DNS sécurisés OpenDNS, CleanBrowsing, CloudFlare ou GoogleDNS

Activer les DNS sécurisés sur Microsoft Edge

Comment sécuriser Microsoft Edge pour se protéger des virus

Opera

Activer le DNS Over HTTPS sur Opera est très simple :

Ouvrez les paramètres d’Opera
puis à gauche, cliquez sur le menu Avancé > Vie privée et sécurité
Descendez dans la partie Système pour activer “Utiliser DNS-OverHTTPs au lieu des paramètres du système“.
Réglez le serveur prédéfini ou une adresse de serveur DNS de votre choix.

Brave

Cliquez en haut à droite sur le bouton
Puis Paramètres

Puis à gauche cliquez sur Confidentialité et Sécurité

Puis dans le menu déroulant choisissez le service de DNS

Par exemple ici Quad9 avec son serveur 9.9.9.9

Bien entendu, il vaut mieux éviter les DNS Google ou CloudFlare qui peuvent effectuer du pistage utilisateur.

Les meilleurs DNS : la liste COMPLETE

Comment activer les DNS sécurisés dans Windows 10, 11

La plupart des serveurs DNS des FAI ne proposent pas les DNS Sécurisés (DNSSEC).
Théoriquement donc, le test doit donc échouer.

Ainsi, il faut changer de DNS par exemple vers CloudFlare ou Google sachant que ce dernier collecte certainement vos habitudes de surf.

Dans le cas de Cloudflare, il faut mettre 1.1.1.1 comme serveur DNS, un article complet donne toute la démarche :

Comment changer les DNS de Windows 7 et 10 vers 1.1.1.1 CloudFlare

Une fois la modification effectuée, vérifiez sur la page de test que DNSSEC est bien actif.
Ensuite il convient d’activer certaines options dans les navigateurs WEB.

YoGaDNS et Simple DNSCrypt pour sécuriser les connexions DNS

YogaDNS est un client DNS pour les utilisateurs expérimentés.
Il permet d’utiliser plusieurs DNS dont des DNS DNSSEC ou DNS Over HTTPS.

YogaDNS : un client DNS avancé

Enfin on peut aussi utiliser Simple DNSCrypt qui apporte le protocole DNSCrypt qui permet aussi de chiffrer les connexions DNS.
L’article suivant le présente :

Simple DNSCrypt : sécuriser et chiffrer ses DNS

Tester la sécurité DNS

Enfin pour tester vos DNS contre la fuite de DNS et la sécurité, suivez ce tutoriel :

Comment tester les DNS (fuites DNS , Sécurité DNS)

Liste de serveurs sécurisés (DoH et DoT)

Voici une liste de serveurs DNS sécurisés : DNS Over HTTPS et DNS Over TLS.
Certains avec du filtrage et d’autres sans.

Nom	URL	Commentaire et filtrage	Type
AdGuard	Défaut: https://dns.adguard.com/dns-query Contrôle parental : https://dns-family.adguard.com/dns-query	Blocage des publicités. Le contrôle parental bloque les sites pour adultes	Commerciale
Google	https://dns.google/dns-query		Commerciale
Cloudflare	https://cloudflare-dns.com/dns-query	Par défaut dans Firefox	Commerciale
Quad9	Défaut : https://dns.quad9.net/dns-query Sécurisé : https://dns9.quad9.net/dns-query Non sûr : https://dns10.quad9.net/dns-query	Sécurisé : Filtrage, DNSSEC, Pas de EDNS Client-Subnet Non sûr : Pas de filtrage, Pas de DNSSEC, Pas de EDNS Client-Subnet	Commerciale et fait partie de la cyber alliance
Cisco Umbrella/OpenDNS	https://doh.opendns.com/dns-query	Expérimental, Pas de DNSSEC Présence de log	Commerciale
CleanBrowsing	https://doh.cleanbrowsing.org/doh/family-filter/	Contrôle parental	Commerciale
Comcast	https://doh.xfinity.com/dns-query	Expérimental, Pas de DNSSEC - Beta Trial	Commerciale
Cox	https://dohdot.coxlab.net/dns-query	Expérimental, Pas de DNSSEC
nextdns.io	https://dns.nextdns.io/ Créer un ID	Permet de configurer votre propre DNS Voir : NextDNS : bloquer les publicités et les traqueurs	Commerciale
@chantra	https://dns.dnsoverhttps.net/dns-query		https://commons.host
@jedisct1	https://doh.crypto.sx/dns-query		https://commons.host
PowerDNS	https://doh.powerdns.org
blahdns.com	Finlande : https://doh-fi.blahdns.com/dns-query Japon : https://doh-jp.blahdns.com/dns-query Allemagne : https://doh-de.blahdns.com/dns-query	DNSSEC, No ECS, No logs, Adsblock
NekomimiRouter.com	https://dns.dns-over-https.com/dns-query
SecureDNS.eu	https://doh.securedns.eu/dns-query	Pas de journaux & DNSSEC	Associatif / Personnel
Rubyfish.cn	https://dns.rubyfish.cn/dns-query	DNS Chinois
ContainerPI	Sans filtre avec CloudFlare: https://dns.containerpi.com/dns-query Filtré par CleanBrowsing (bloque les sites pour adultes) : https://dns.containerpi.com/doh/family-filter/ Filtres les adreses malveillantes : https://dns.containerpi.com/doh/secure-filter/	Pas de journaux, EDNS Client Subnet enabled. Plusieurs noeuds en Chine, Japon et Allemagne.
@publicarray dns.seby.io	https://doh-2.seby.io/dns-query https://doh.seby.io:8443/dns-query	Inclus DNSSEC, No ECS et pas de journal	Associatif / Personnel
Commons Host	https://commons.host		https://commons.host
DnsWarden	DNS: https://doh.dnswarden.com/adult-filter Adblock DNS: https://doh.dnswarden.com/adblock Sans filtre DNS: https://doh.dnswarden.com/uncensored Adult-filterAdblocking DNS: https://doh.dnswarden.com/adblock Uncensored DNS: https://doh.dnswarden.com/uncensored Filtre les sites pour adultes : https://doh.dnswarden.com/adult-filter	DNSSEC
aaflalo.me	US: https://dns-nyc.aaflalo.me/dns-query EU: https://dns.aaflalo.me/dns-query	Les deux serveurs supportent DNSSEC et bloquent les publicités
NixNet	Voir la liste : https://nixnet.xyz/dns/		Associatif / Personnel
Foundation for Applied Privacy	https://doh.appliedprivacy.net/query	Pas de journal	Fondation
PowerDNS	https://doh.powerdns.org/	Pas de journal	Personnel
DNS Européen	https://dns0.eu/	Respecte RGPD	Associatif

Liens

Tester ses protections sur les navigateurs internet