Menu Fermer

Comment activer les DNS Over HTTPS (DoH) sur Firefox, Chrome, Edge, Brave ou Opera

Les connexions DNS ne sont pas forcément sécurisées, ainsi, cela peut parfois poser des problèmes de sécurité ou de confidentialité.
Afin de renforcer la sécurité DNS, il existe beaucoup de mécanismes comme Secure DNS, DNSSEC, TLS 1.3 et le chiffrement SNI.

Cet article vous explique quels sont ces mécanismes et implications et comment sécuriser vos connexions DNS avec Chrome, Firefox, Edge, Brave ou Opera.

Les DNS ou serveurs de noms

Introduction

Au moment où sont écrites ces lignes, les requêtes DNS effectuées par les navigateurs WEB ne sont pas chiffrées.
Ainsi un attaquant peut visualiser ces requêtes à travers une attaque MITM ou pire falsifier celle-ci.

Attaque MITM pour récupérer ou modifier les connexions DNS

Dans un précédent article, nous avions présenté la solution Simple DNSCrypt.
Ce dernier permet de sécuriser entière les requêtes dans Windows.
Toutefois, la mise en place peut s’avérer compliquer.

Dans cet article nous allons voir comment sécuriser ces connexions sur les navigateurs WEB.
En en effet, Il existe des solutions qui ne sont pas forcément disponibles entièrement pour plusieurs raisons :

  • Le navigateur WEB doit gérer ces mécanismes ce qui n’est pas le cas de tous les navigateurs WEB. Notamment Google Chrome a du retard.
  • Le serveur DNS utilisée doit aussi pouvoir supporter ces protocoles de sécurité.

DNSSEC, DoT, DoH : Les protocoles de sécurité DNS

L’idée est surtout d’activer le chiffrement lors des requêtes DNS.
Un peu dans le même esprit que lorsque vous passez d’un site HTTP à un site sécurisé HTTPS.

CloudFlare qui propose ses propre serveurs DNS est l’un des premiers à fournir entièrement une solution sécurisée.
Le but est donc de passer de ce schéma où le clientHello n’est pas sécurisé et peut donc livrer des informations ou être manipulés.

DNSSEC et Secure DNS avec CloudFlare

A celui-ci où la requête DNS est entièrement sécurisés.

DNSSEC et Secure DNS avec CloudFlare

Les protocoles utilisés afin de parvenir à chiffrer les DNS.

  • DNS-over-TLS ou DNS-over-HTTPS — Apporte le support DNS-over-TLS ou DNS-over-HTTPS qui permet le chiffrement des requêtes. Toutefois, celle-ci peut révéler le site que vous visitez.
  • DNSSEC — Permet d’authentifier les requêtes DNS afin de protéger contre l’empoisonnement du cache.
  • TLS 1.3 — La dernière version du protocole TLS qui corrige et apporte de nouvelles protections.
  • Chiffrement SNI (Encrypted SNI)— Active le chiffrement SNI ou ESNI qui protège de la récupération des résolutions DNS lors de l’établissement de la connexion sécurisée. Par exemple, votre FAI peut connaître les sites que vous visitez à travers les résolutions.

Plus de détails :

Ainsi certaines fonctionnalités sont plutôt pour sécuriser le surf alors que d’autres touche l’anonymisation.

Comment activer les DNS sécurisés les navigateurs internet avec DoT, DoHT ou DNSSec

Pour vérifier si ces protocoles sont actifs, CloudFlare fournit un site de test dont voici l’adresse : https://www.cloudflare.com/ssl/encrypted-sni/#

Le résultat s’affiche alors comme ici où on voit que seul DNSSEC et TLS1.3 sont bien activés.

Sécuriser les connexions DNS

Mozilla Firefox

Mozilla Firefox propose de configurer les paramètres DNS depuis l’interface.

  • Ouvre les paramètres de Firefox
  • Dans la partie générale, descendez tout en bas dans les paramètres réseau
  • Cliquez sur Paramètres
Activer DNS Over HTTPS sur Mozilla Firefox
  • En bas on trouve la possibilité d’activer DNS via HTTPS
  • CloudFlare et NetDNS sont proposés par défaut mais on peut aussi personnaliser l’adresse du serveur DNS.
Activer DNS Over HTTPS sur Mozilla Firefox

Pour aller plus loin :

Les réglages et options

La majorité des paramètres DNS avancés sont à effectuer dans le about:config de Mozilla Firefox.

  • Ouvrez un nouvel onglet pour pouvoir une nouvelle page
  • Ensuite dans la barre d’adresse, saisissez about:config
  • Enfin passez outre le message d’alerte.

L’activation du DNS over HTTPS se fait à partir du paramètre network.trr.mode d’about:config

Voici les réglages possible de network.trr.mode qui prend des valeurs de 0 à 4:

  • 0 : DNS Over HTTPs est désactivé.
  • 1 : Firefox utilisera le DNS natif ou TRR selon la vitesse de résolution, le plus rapide sera utilisé.
  • 2 : Firefox utilisera par défaut TRR mais reviendra au résolution DNS natif si TRR n’arrive pas à résoudre une adresse.
  • 3 : Firefox fonctionnera en mode TRR seulement.
  • 4 : Firefox fonctionne en mode natif mais utilisera aussi en parallèle TRR pour de la récupération de données.
Trusted Recursive Resolver (TRR) sur Firefox

Les autres paramètres de network.trr de Firefox

  • network.trr.credentials — des identifiants sont envoyés sur la requête HTTPS
  • network.trr.wait-for-portal — Utilise le TRR seulement seulement si une détection du portail captif est OK (defaut: true)
  • network.trr.allow-rfc1918 — Autoriser l’adresse privée en réponse (RFC 1918) (defaut:false).
  • network.trr.useGET — Utilise les requêtes GET au lieu de POST (defaut:false).
  • network.trr.confirmationNS — Firefox vérifie un domaine par défaut pour s’assurer que le TRR fonctionne par une réponse positive (defaut: example.com).
  • network.trr.bootstrapAddress — Permet de régler une adresse IP pour contourner le système de résolution (defaut: none)
  • network.trr.blacklist-duration — Le nombre de secondes de la durée d’une entrée dans la liste noire (defaut: 259200)
  • network.trr.request-timeout — Règle le délai du timeout(defaut: 3000)
  • network.trr.early-AAAA — Firefox vérifie les entrées A et AAAA et utilisera d’abord les entrées AAA si cette préférencée est réglé à true (defaut: false)

Enfin, on active le chiffrement SNI en passant network.security.esni.enabled à true.

Activer le chiffrement SNI sur Mozilla Firefox

Enfin tout est vert ce qui indique que vos connexions DNS sont bien sécurisées.

Sécuriser ses DNS sur Mozilla Firefox

Google Chrome

Google Chrome ne propose pas toutes les fonctionnalités actuellement.
A partir de la version 78 et 83 ont pu activer le DNS Over HTTPs depuis les paramètres cachés.
Mais on ne peut pas encore choisir le serveur.

Les versions futures le permettront.

  • Dns​Over​Https​Mode – Contrôle le mode DNS sur HTTPS
    • off = Désactiver DNS sur HTTPS
    • automatic = Activer DNS sur HTTPS avec repli non sécurisé
    • secure = Activer DNS sur HTTPS sans repli non sécurisé
  • Dns​Over​Https​Templates – Spécifiez le modèle URI du résolveur DNS sur HTTPS souhaité. Le modèle d’URI du résolveur DNS sur HTTPS souhaité. Pour spécifier plusieurs résolveurs DNS sur HTTPS, séparez les modèles d’URI correspondants par des espaces.
    • Si le DnsOverHttpsMode est défini sur «sécurisé», cette stratégie doit être définie et non vide.
    • Si DnsOverHttpsMode est défini sur “automatique” et que cette stratégie est définie, les modèles d’URI spécifiés seront utilisés; si cette stratégie n’est pas définie, des mappages codés en dur seront utilisés pour tenter de mettre à niveau le résolveur DNS actuel de l’utilisateur vers un résolveur DoH exploité par le même fournisseur.
    • Si le modèle d’URI contient une variable DNS, les demandes au résolveur utiliseront GET; sinon, les demandes utiliseront POST.
Activer le DNS Over Https sur Google Chrome

Dans les versions futures, il faudra se rendre dans les paramètres de Chrome > Confidentialité et sécurité.
En bas, on peut activer “Utiliser un serveur DNS sécurisé“.
On peut alors spécifier une adresse de serveur DNS.

Activer le DNS Over Https sur Google Chrome

L’article sera édité lorsque des mises à jour de Google Chrome apporteront des changements.
Pour aller plus loin :

Edge

  • Cliquez en haut à droite sur le bouton 
  • puis Paramètres
Ouvrir les paramètres d'Edge
  • Puis à gauche, cliquez sur le menu Confidentialité, recherche et services
  • Cliquez sur le champs Choisissez votre fournisseur de services
  • Puis sélectionnez entre les DNS sécurisés OpenDNS, CleanBrowsing, CloudFlare ou GoogleDNS
Activer les DNS sécurisés sur Microsoft Edge

Opera

Activer le DNS Over HTTPS sur Opera est très simple :

  • Ouvrez les paramètres d’Opera
  • puis à gauche, cliquez sur le menu Avancé > Vie privée et sécurité
  • Descendez dans la partie Système pour activer “Utiliser DNS-OverHTTPs au lieu des paramètres du système“.
  • Réglez le serveur prédéfini ou une adresse de serveur DNS de votre choix.
Activer le DNS Over Https sur Opera

Brave

  • Cliquez en haut à droite sur le bouton 
  • Puis Paramètres
ouvrir les paramètres de Brave
  • Puis à gauche cliquez sur Confidentialité et Sécurité
Les paramètres de sécurité de Brave
  • Puis dans le menu déroulant choisissez le service de DNS
Utiliser les DNS sécurisés sur Brave
  • Par exemple ici Quad9 avec son serveur 9.9.9.9

Bien entendu, il vaut mieux éviter les DNS Google ou CloudFlare qui peuvent effectuer du pistage utilisateur.

Comment activer les DNS sécurisés dans Windows 10, 11

La plupart des serveurs DNS des FAI ne proposent pas les DNS Sécurisés (DNSSEC).
Théoriquement donc, le test doit donc échouer.

Ainsi, il faut changer de DNS par exemple vers CloudFlare ou Google sachant que ce dernier collecte certainement vos habitudes de surf.

Dans le cas de Cloudflare, il faut mettre 1.1.1.1 comme serveur DNS, un article complet donne toute la démarche :

Une fois la modification effectuée, vérifiez sur la page de test que DNSSEC est bien actif.
Ensuite il convient d’activer certaines options dans les navigateurs WEB.

YoGaDNS et Simple DNSCrypt pour sécuriser les connexions DNS

YogaDNS est un client DNS pour les utilisateurs expérimentés.
Il permet d’utiliser plusieurs DNS dont des DNS DNSSEC ou DNS Over HTTPS.

Enfin on peut aussi utiliser Simple DNSCrypt qui apporte le protocole DNSCrypt qui permet aussi de chiffrer les connexions DNS.
L’article suivant le présente :

Tester la sécurité DNS

Enfin pour tester vos DNS contre la fuite de DNS et la sécurité, suivez ce tutoriel :

Comment tester les DNS : fuites DNS, Sécurité DNS, DNSSEC, DNS Over TLS ou HTTPS (DoT et DoH)

Liste de serveurs sécurisés (DoH et DoT)

Voici une liste de serveurs DNS sécurisés : DNS Over HTTPS et DNS Over TLS.
Certains avec du filtrage et d’autres sans.

NomURLCommentaire et filtrageType
AdGuardDéfaut: https://dns.adguard.com/dns-query
Contrôle parental : https://dns-family.adguard.com/dns-query
Blocage des publicités.
Le contrôle parental bloque les sites pour adultes
Commerciale
Googlehttps://dns.google/dns-queryCommerciale
Cloudflarehttps://cloudflare-dns.com/dns-queryPar défaut dans FirefoxCommerciale
Quad9Défaut : https://dns.quad9.net/dns-query
Sécurisé : https://dns9.quad9.net/dns-query
Non sûr : https://dns10.quad9.net/dns-query
Sécurisé : Filtrage, DNSSEC, Pas de EDNS Client-Subnet
Non sûr : Pas de filtrage, Pas de DNSSEC, Pas de EDNS Client-Subnet
Commerciale et fait partie de la cyber alliance
Cisco Umbrella/OpenDNShttps://doh.opendns.com/dns-queryExpérimental, Pas de DNSSEC
Présence de log
Commerciale
CleanBrowsinghttps://doh.cleanbrowsing.org/doh/family-filter/Contrôle parentalCommerciale
Comcasthttps://doh.xfinity.com/dns-queryExpérimental, Pas de DNSSEC - Beta TrialCommerciale
Coxhttps://dohdot.coxlab.net/dns-queryExpérimental, Pas de DNSSEC
nextdns.iohttps://dns.nextdns.io/
Créer un ID
Permet de configurer votre propre DNS
Voir : NextDNS : bloquer les publicités et les traqueurs
Commerciale
@chantrahttps://dns.dnsoverhttps.net/dns-queryhttps://commons.host
@jedisct1https://doh.crypto.sx/dns-queryhttps://commons.host
PowerDNShttps://doh.powerdns.org
blahdns.comFinlande : https://doh-fi.blahdns.com/dns-query
Japon : https://doh-jp.blahdns.com/dns-query
Allemagne : https://doh-de.blahdns.com/dns-query
DNSSEC, No ECS, No logs, Adsblock
NekomimiRouter.comhttps://dns.dns-over-https.com/dns-query
SecureDNS.euhttps://doh.securedns.eu/dns-queryPas de journaux & DNSSECAssociatif / Personnel
Rubyfish.cnhttps://dns.rubyfish.cn/dns-queryDNS Chinois
ContainerPISans filtre avec CloudFlare:
https://dns.containerpi.com/dns-query
Filtré par CleanBrowsing (bloque les sites pour adultes) :
https://dns.containerpi.com/doh/family-filter/
Filtres les adreses malveillantes :
https://dns.containerpi.com/doh/secure-filter/
Pas de journaux, EDNS Client Subnet enabled.
Plusieurs noeuds en Chine, Japon et Allemagne.
@publicarray dns.seby.iohttps://doh-2.seby.io/dns-query
https://doh.seby.io:8443/dns-query
Inclus DNSSEC, No ECS et pas de journalAssociatif / Personnel
Commons Hosthttps://commons.hosthttps://commons.host
DnsWardenDNS: https://doh.dnswarden.com/adult-filter
Adblock DNS: https://doh.dnswarden.com/adblock
Sans filtre DNS: https://doh.dnswarden.com/uncensored
Adult-filterAdblocking DNS: https://doh.dnswarden.com/adblock
Uncensored DNS: https://doh.dnswarden.com/uncensored
Filtre les sites pour adultes : https://doh.dnswarden.com/adult-filter
DNSSEC
aaflalo.meUS: https://dns-nyc.aaflalo.me/dns-query
EU: https://dns.aaflalo.me/dns-query
Les deux serveurs supportent DNSSEC et bloquent les publicités
NixNetVoir la liste : https://nixnet.xyz/dns/Associatif / Personnel
Foundation for Applied Privacyhttps://doh.appliedprivacy.net/queryPas de journalFondation
PowerDNShttps://doh.powerdns.org/Pas de journalPersonnel
DNS Européenhttps://dns0.eu/Respecte RGPDAssociatif

Liens