Les connexions DNS ne sont pas forcément sécurisées, ainsi, cela peut parfois poser des problèmes de sécurité ou de confidentialité.
Afin de renforcer la sécurité DNS, il existe beaucoup de mécanismes comme Secure DNS, DNSSEC, TLS 1.3 et le chiffrement SNI.
Cet article vous explique quels sont ces mécanismes et implications et comment sécuriser vos connexions DNS avec Chrome, Firefox, Edge, Brave ou Opera.

Table des matières
- 1 Introduction
- 2 DNSSEC, DoT, DoH : Les protocoles de sécurité DNS
- 3 Comment activer les DNS sécurisés les navigateurs internet avec DoT, DoHT ou DNSSec
- 4 Comment activer les DNS sécurisés dans Windows 10, 11
- 5 YoGaDNS et Simple DNSCrypt pour sécuriser les connexions DNS
- 6 Tester la sécurité DNS
- 7 Liste de serveurs sécurisés (DoH et DoT)
- 8 Liens
Introduction
Au moment où sont écrites ces lignes, les requêtes DNS effectuées par les navigateurs WEB ne sont pas chiffrées.
Ainsi un attaquant peut visualiser ces requêtes à travers une attaque MITM ou pire falsifier celle-ci.
Dans un précédent article, nous avions présenté la solution Simple DNSCrypt.
Ce dernier permet de sécuriser entière les requêtes dans Windows.
Toutefois, la mise en place peut s’avérer compliquer.
Dans cet article nous allons voir comment sécuriser ces connexions sur les navigateurs WEB.
En en effet, Il existe des solutions qui ne sont pas forcément disponibles entièrement pour plusieurs raisons :
- Le navigateur WEB doit gérer ces mécanismes ce qui n’est pas le cas de tous les navigateurs WEB. Notamment Google Chrome a du retard.
- Le serveur DNS utilisée doit aussi pouvoir supporter ces protocoles de sécurité.
DNSSEC, DoT, DoH : Les protocoles de sécurité DNS
L’idée est surtout d’activer le chiffrement lors des requêtes DNS.
Un peu dans le même esprit que lorsque vous passez d’un site HTTP à un site sécurisé HTTPS.
CloudFlare qui propose ses propre serveurs DNS est l’un des premiers à fournir entièrement une solution sécurisée.
Le but est donc de passer de ce schéma où le clientHello n’est pas sécurisé et peut donc livrer des informations ou être manipulés.
A celui-ci où la requête DNS est entièrement sécurisés.
Les protocoles utilisés afin de parvenir à chiffrer les DNS.
- DNS-over-TLS ou DNS-over-HTTPS — Apporte le support DNS-over-TLS ou DNS-over-HTTPS qui permet le chiffrement des requêtes. Toutefois, celle-ci peut révéler le site que vous visitez.
- DNSSEC — Permet d’authentifier les requêtes DNS afin de protéger contre l’empoisonnement du cache.
- TLS 1.3 — La dernière version du protocole TLS qui corrige et apporte de nouvelles protections.
- Chiffrement SNI (Encrypted SNI)— Active le chiffrement SNI ou ESNI qui protège de la récupération des résolutions DNS lors de l’établissement de la connexion sécurisée. Par exemple, votre FAI peut connaître les sites que vous visitez à travers les résolutions.
Plus de détails :
Ainsi certaines fonctionnalités sont plutôt pour sécuriser le surf alors que d’autres touche l’anonymisation.
Pour vérifier si ces protocoles sont actifs, CloudFlare fournit un site de test dont voici l’adresse : https://www.cloudflare.com/ssl/encrypted-sni/#
Le résultat s’affiche alors comme ici où on voit que seul DNSSEC et TLS1.3 sont bien activés.
Mozilla Firefox
Mozilla Firefox propose de configurer les paramètres DNS depuis l’interface.
- Ouvre les paramètres de Firefox
- Dans la partie générale, descendez tout en bas dans les paramètres réseau
- Cliquez sur Paramètres
- En bas on trouve la possibilité d’activer DNS via HTTPS
- CloudFlare et NetDNS sont proposés par défaut mais on peut aussi personnaliser l’adresse du serveur DNS.
Pour aller plus loin :
Les réglages et options
La majorité des paramètres DNS avancés sont à effectuer dans le about:config de Mozilla Firefox.
- Ouvrez un nouvel onglet pour pouvoir une nouvelle page
- Ensuite dans la barre d’adresse, saisissez about:config
- Enfin passez outre le message d’alerte.
L’activation du DNS over HTTPS se fait à partir du paramètre network.trr.mode d’about:config
Voici les réglages possible de network.trr.mode qui prend des valeurs de 0 à 4:
- 0 : DNS Over HTTPs est désactivé.
- 1 : Firefox utilisera le DNS natif ou TRR selon la vitesse de résolution, le plus rapide sera utilisé.
- 2 : Firefox utilisera par défaut TRR mais reviendra au résolution DNS natif si TRR n’arrive pas à résoudre une adresse.
- 3 : Firefox fonctionnera en mode TRR seulement.
- 4 : Firefox fonctionne en mode natif mais utilisera aussi en parallèle TRR pour de la récupération de données.
Les autres paramètres de network.trr de Firefox
- network.trr.credentials — des identifiants sont envoyés sur la requête HTTPS
- network.trr.wait-for-portal — Utilise le TRR seulement seulement si une détection du portail captif est OK (defaut: true)
- network.trr.allow-rfc1918 — Autoriser l’adresse privée en réponse (RFC 1918) (defaut:false).
- network.trr.useGET — Utilise les requêtes GET au lieu de POST (defaut:false).
- network.trr.confirmationNS — Firefox vérifie un domaine par défaut pour s’assurer que le TRR fonctionne par une réponse positive (defaut: example.com).
- network.trr.bootstrapAddress — Permet de régler une adresse IP pour contourner le système de résolution (defaut: none)
- network.trr.blacklist-duration — Le nombre de secondes de la durée d’une entrée dans la liste noire (defaut: 259200)
- network.trr.request-timeout — Règle le délai du timeout(defaut: 3000)
- network.trr.early-AAAA — Firefox vérifie les entrées A et AAAA et utilisera d’abord les entrées AAA si cette préférencée est réglé à true (defaut: false)
Enfin, on active le chiffrement SNI en passant network.security.esni.enabled à true.
Enfin tout est vert ce qui indique que vos connexions DNS sont bien sécurisées.
Google Chrome
Google Chrome ne propose pas toutes les fonctionnalités actuellement.
A partir de la version 78 et 83 ont pu activer le DNS Over HTTPs depuis les paramètres cachés.
Mais on ne peut pas encore choisir le serveur.
Les versions futures le permettront.
- DnsOverHttpsMode – Contrôle le mode DNS sur HTTPS
- off = Désactiver DNS sur HTTPS
- automatic = Activer DNS sur HTTPS avec repli non sécurisé
- secure = Activer DNS sur HTTPS sans repli non sécurisé
- DnsOverHttpsTemplates – Spécifiez le modèle URI du résolveur DNS sur HTTPS souhaité. Le modèle d’URI du résolveur DNS sur HTTPS souhaité. Pour spécifier plusieurs résolveurs DNS sur HTTPS, séparez les modèles d’URI correspondants par des espaces.
- Si le DnsOverHttpsMode est défini sur «sécurisé», cette stratégie doit être définie et non vide.
- Si DnsOverHttpsMode est défini sur “automatique” et que cette stratégie est définie, les modèles d’URI spécifiés seront utilisés; si cette stratégie n’est pas définie, des mappages codés en dur seront utilisés pour tenter de mettre à niveau le résolveur DNS actuel de l’utilisateur vers un résolveur DoH exploité par le même fournisseur.
- Si le modèle d’URI contient une variable DNS, les demandes au résolveur utiliseront GET; sinon, les demandes utiliseront POST.
Dans les versions futures, il faudra se rendre dans les paramètres de Chrome > Confidentialité et sécurité.
En bas, on peut activer “Utiliser un serveur DNS sécurisé“.
On peut alors spécifier une adresse de serveur DNS.
L’article sera édité lorsque des mises à jour de Google Chrome apporteront des changements.
Pour aller plus loin :
Edge
- Cliquez en haut à droite sur le bouton
- puis Paramètres
- Puis à gauche, cliquez sur le menu Confidentialité, recherche et services
- Cliquez sur le champs Choisissez votre fournisseur de services
- Puis sélectionnez entre les DNS sécurisés OpenDNS, CleanBrowsing, CloudFlare ou GoogleDNS
Opera
Activer le DNS Over HTTPS sur Opera est très simple :
- Ouvrez les paramètres d’Opera
- puis à gauche, cliquez sur le menu Avancé > Vie privée et sécurité
- Descendez dans la partie Système pour activer “Utiliser DNS-OverHTTPs au lieu des paramètres du système“.
- Réglez le serveur prédéfini ou une adresse de serveur DNS de votre choix.
Brave
- Cliquez en haut à droite sur le bouton
- Puis Paramètres
- Puis à gauche cliquez sur Confidentialité et Sécurité
- Puis dans le menu déroulant choisissez le service de DNS
- Par exemple ici Quad9 avec son serveur 9.9.9.9
Bien entendu, il vaut mieux éviter les DNS Google ou CloudFlare qui peuvent effectuer du pistage utilisateur.
Comment activer les DNS sécurisés dans Windows 10, 11
La plupart des serveurs DNS des FAI ne proposent pas les DNS Sécurisés (DNSSEC).
Théoriquement donc, le test doit donc échouer.
Ainsi, il faut changer de DNS par exemple vers CloudFlare ou Google sachant que ce dernier collecte certainement vos habitudes de surf.
- Comment activer DNS sur HTTPS (DoH) dans Windows 10
- Comment activer DNS sur HTTPS (DoH) dans Windows 11
Dans le cas de Cloudflare, il faut mettre 1.1.1.1 comme serveur DNS, un article complet donne toute la démarche :
Une fois la modification effectuée, vérifiez sur la page de test que DNSSEC est bien actif.
Ensuite il convient d’activer certaines options dans les navigateurs WEB.
YoGaDNS et Simple DNSCrypt pour sécuriser les connexions DNS
YogaDNS est un client DNS pour les utilisateurs expérimentés.
Il permet d’utiliser plusieurs DNS dont des DNS DNSSEC ou DNS Over HTTPS.
Enfin on peut aussi utiliser Simple DNSCrypt qui apporte le protocole DNSCrypt qui permet aussi de chiffrer les connexions DNS.
L’article suivant le présente :
Tester la sécurité DNS
Enfin pour tester vos DNS contre la fuite de DNS et la sécurité, suivez ce tutoriel :
Liste de serveurs sécurisés (DoH et DoT)
Voici une liste de serveurs DNS sécurisés : DNS Over HTTPS et DNS Over TLS.
Certains avec du filtrage et d’autres sans.
Nom | URL | Commentaire et filtrage | Type |
---|---|---|---|
AdGuard | Défaut: https://dns.adguard.com/dns-query Contrôle parental : https://dns-family.adguard.com/dns-query | Blocage des publicités. Le contrôle parental bloque les sites pour adultes | Commerciale |
https://dns.google/dns-query | Commerciale | ||
Cloudflare | https://cloudflare-dns.com/dns-query | Par défaut dans Firefox | Commerciale |
Quad9 | Défaut : https://dns.quad9.net/dns-query Sécurisé : https://dns9.quad9.net/dns-query Non sûr : https://dns10.quad9.net/dns-query | Sécurisé : Filtrage, DNSSEC, Pas de EDNS Client-Subnet Non sûr : Pas de filtrage, Pas de DNSSEC, Pas de EDNS Client-Subnet | Commerciale et fait partie de la cyber alliance |
Cisco Umbrella/OpenDNS | https://doh.opendns.com/dns-query | Expérimental, Pas de DNSSEC Présence de log | Commerciale |
CleanBrowsing | https://doh.cleanbrowsing.org/doh/family-filter/ | Contrôle parental | Commerciale |
Comcast | https://doh.xfinity.com/dns-query | Expérimental, Pas de DNSSEC - Beta Trial | Commerciale |
Cox | https://dohdot.coxlab.net/dns-query | Expérimental, Pas de DNSSEC | |
nextdns.io | https://dns.nextdns.io/ Créer un ID | Permet de configurer votre propre DNS Voir : NextDNS : bloquer les publicités et les traqueurs | Commerciale |
@chantra | https://dns.dnsoverhttps.net/dns-query | https://commons.host | |
@jedisct1 | https://doh.crypto.sx/dns-query | https://commons.host | |
PowerDNS | https://doh.powerdns.org | ||
blahdns.com | Finlande : https://doh-fi.blahdns.com/dns-query Japon : https://doh-jp.blahdns.com/dns-query Allemagne : https://doh-de.blahdns.com/dns-query | DNSSEC, No ECS, No logs, Adsblock | |
NekomimiRouter.com | https://dns.dns-over-https.com/dns-query | ||
SecureDNS.eu | https://doh.securedns.eu/dns-query | Pas de journaux & DNSSEC | Associatif / Personnel |
Rubyfish.cn | https://dns.rubyfish.cn/dns-query | DNS Chinois | |
ContainerPI | Sans filtre avec CloudFlare: https://dns.containerpi.com/dns-query Filtré par CleanBrowsing (bloque les sites pour adultes) : https://dns.containerpi.com/doh/family-filter/ Filtres les adreses malveillantes : https://dns.containerpi.com/doh/secure-filter/ | Pas de journaux, EDNS Client Subnet enabled. Plusieurs noeuds en Chine, Japon et Allemagne. | |
@publicarray dns.seby.io | https://doh-2.seby.io/dns-query https://doh.seby.io:8443/dns-query | Inclus DNSSEC, No ECS et pas de journal | Associatif / Personnel |
Commons Host | https://commons.host | https://commons.host | |
DnsWarden | DNS: https://doh.dnswarden.com/adult-filter Adblock DNS: https://doh.dnswarden.com/adblock Sans filtre DNS: https://doh.dnswarden.com/uncensored Adult-filterAdblocking DNS: https://doh.dnswarden.com/adblock Uncensored DNS: https://doh.dnswarden.com/uncensored Filtre les sites pour adultes : https://doh.dnswarden.com/adult-filter | DNSSEC | |
aaflalo.me | US: https://dns-nyc.aaflalo.me/dns-query EU: https://dns.aaflalo.me/dns-query | Les deux serveurs supportent DNSSEC et bloquent les publicités | |
NixNet | Voir la liste : https://nixnet.xyz/dns/ | Associatif / Personnel | |
Foundation for Applied Privacy | https://doh.appliedprivacy.net/query | Pas de journal | Fondation |
PowerDNS | https://doh.powerdns.org/ | Pas de journal | Personnel |
DNS Européen | https://dns0.eu/ | Respecte RGPD | Associatif |