Menu Fermer

Firefox : Activer et changer adresse du DNS Over HTTPs (DoH)

Mozilla Firefox a ouvert la voie vers le DNS Over DNS (DoH) afin de mettre en place des DNS sécurisés.
Cela permet la résolution DNS à travers du HTTPS.
Ainsi celle-ci est chiffrée et permet de masquer et sécuriser les transactions.

Par défaut, cette solution DNS n’est pas active.
Mais on peut l’activer.
De plus Firefox propose CloudFlare mais on peut très bien changer l’adresse.
Par exemple pour mettre un serveur DNS avec un contrôle parental ou qui filtre les publicités.
Mais aussi un serveur DNS non commercial qui respectent plus la vie privée.

Ce tutoriel vous explique comment changer les DNS dans Firefox.

Firefox : Activer et changer adresse du DNS Over HTTPs (DoH)

Firefox et le DNS Over HTTPS

Pour ceux qui ne connaissant pas les mécanismes DNS, suivre notre article :

Par défaut, le protocole DNS ne supporte pas le chiffrement et l’authentification.
Même si cela est possible avec Secure DNS et DNSSEC, Windows et la plupart des FAI ne le propose pas par défaut.
Les données passent en clair et peuvent être intercepté ou manipulé par un attaquant.
C’est le principe des attaques man in the middle.

Mozilla Firefox sécurise cela en proposant le DNS Over HTTPS.
La résolution DNS se faisant à travers le mécanisme des sites HTTPs.
Par défaut, ils utilisent les serveurs Cloudflare.
Si cela ne vous satisfait pas, vous pouvez les changer.

Microsoft va aussi donner la possibilité d’activer DNS Over HTTPS (DoH) dans Windows 10, on en parle dans cet article : Comment activer DNS over HTTPS (DoH) dans Windows 10.

Comment activer DNS over HTTPS sur Firefox

Mozilla Firefox permet de personnaliser les serveurs DNS.
La procédure est très simple.

  • Cliquez en haut à droite sur le bouton 
  • Puis Paramètres
Ouvrir les paramètres sur Mozilla Firefox
  • Dans général, descendez tout en bas dans les paramètres réseaux
  • Puis cliquez sur Paramètres
Activer DNS over HTTPS sur Firefox
  • En bas dans; cochez Activer le DNS via HTTPs
  • Dans fournisseur sélectionnez Personnalisé pour mettre un serveur de votre choix sinon mettre CloudFlare
Activer DNS over HTTPS sur Firefox

Le paragraphe suivant vous donne une liste de serveurs supportant le DoH.
Certains proposent des filtres.

Liste des serveurs DNS sécurisés (DoT et DoH)

Comme on peut changer les serveurs DNS de Windows vers Google ou CloudFlare.
Vous pouvez aussi changer les serveurs DNS via HTTPs de Firefox.
Il en existent aussi en public dont voici la liste.
Certains peuvent filtrer les requêtes (contrôle parental, adresses malveillantes, etc).
Enfin ils peuvent avoir un but commerciale ou associatifs.

Quelques rappels :

  • Secure DNS — Apporte le support DNS-over-TLS ou DNS-over-HTTPS qui permet le chiffrement des requêtes DNS, toutefois, celle-ci peut révéler le site que vous visitez.
  • DNSSEC — Permet d’authentifier les requêtes DNS afin de les sécuriser.
NomURLCommentaire et filtrageType
AdGuardDéfaut: https://dns.adguard.com/dns-query
Contrôle parental : https://dns-family.adguard.com/dns-query
Blocage des publicités.
Le contrôle parental bloque les sites pour adultes
Commerciale
Googlehttps://dns.google/dns-queryCommerciale
Cloudflarehttps://cloudflare-dns.com/dns-queryPar défaut dans FirefoxCommerciale
Quad9Défaut : https://dns.quad9.net/dns-query
Sécurisé : https://dns9.quad9.net/dns-query
Non sûr : https://dns10.quad9.net/dns-query
Sécurisé : Filtrage, DNSSEC, Pas de EDNS Client-Subnet
Non sûr : Pas de filtrage, Pas de DNSSEC, Pas de EDNS Client-Subnet
Commerciale et fait partie de la cyber alliance
Cisco Umbrella/OpenDNShttps://doh.opendns.com/dns-queryExpérimental, Pas de DNSSEC
Présence de log
Commerciale
CleanBrowsinghttps://doh.cleanbrowsing.org/doh/family-filter/Contrôle parentalCommerciale
Comcasthttps://doh.xfinity.com/dns-queryExpérimental, Pas de DNSSEC - Beta TrialCommerciale
Coxhttps://dohdot.coxlab.net/dns-queryExpérimental, Pas de DNSSEC
nextdns.iohttps://dns.nextdns.io/
Créer un ID
Permet de configurer votre propre DNS
Voir : NextDNS : bloquer les publicités et les traqueurs
Commerciale
@chantrahttps://dns.dnsoverhttps.net/dns-queryhttps://commons.host
@jedisct1https://doh.crypto.sx/dns-queryhttps://commons.host
PowerDNShttps://doh.powerdns.org
blahdns.comFinlande : https://doh-fi.blahdns.com/dns-query
Japon : https://doh-jp.blahdns.com/dns-query
Allemagne : https://doh-de.blahdns.com/dns-query
DNSSEC, No ECS, No logs, Adsblock
NekomimiRouter.comhttps://dns.dns-over-https.com/dns-query
SecureDNS.euhttps://doh.securedns.eu/dns-queryPas de journaux & DNSSECAssociatif / Personnel
Rubyfish.cnhttps://dns.rubyfish.cn/dns-queryDNS Chinois
ContainerPISans filtre avec CloudFlare:
https://dns.containerpi.com/dns-query
Filtré par CleanBrowsing (bloque les sites pour adultes) :
https://dns.containerpi.com/doh/family-filter/
Filtres les adreses malveillantes :
https://dns.containerpi.com/doh/secure-filter/
Pas de journaux, EDNS Client Subnet enabled.
Plusieurs noeuds en Chine, Japon et Allemagne.
@publicarray dns.seby.iohttps://doh-2.seby.io/dns-query
https://doh.seby.io:8443/dns-query
Inclus DNSSEC, No ECS et pas de journalAssociatif / Personnel
Commons Hosthttps://commons.hosthttps://commons.host
DnsWardenDNS: https://doh.dnswarden.com/adult-filter
Adblock DNS: https://doh.dnswarden.com/adblock
Sans filtre DNS: https://doh.dnswarden.com/uncensored
Adult-filterAdblocking DNS: https://doh.dnswarden.com/adblock
Uncensored DNS: https://doh.dnswarden.com/uncensored
Filtre les sites pour adultes : https://doh.dnswarden.com/adult-filter
DNSSEC
aaflalo.meUS: https://dns-nyc.aaflalo.me/dns-query
EU: https://dns.aaflalo.me/dns-query
Les deux serveurs supportent DNSSEC et bloquent les publicités
NixNetVoir la liste : https://nixnet.xyz/dns/Associatif / Personnel
Foundation for Applied Privacyhttps://doh.appliedprivacy.net/queryPas de journalFondation
PowerDNShttps://doh.powerdns.org/Pas de journalPersonnel
DNS Européenhttps://dns0.eu/Respecte RGPDAssociatif
DNS FDNhttps://ns0.fdn.fr/dns-query
https://ns1.fdn.fr/dns-query
Respecte la neutralité du NETAssociatif

Quelques autres listes plus complètes :

Tester la sécurité des serveurs DNS

Enfin vous pouvez tester la sécurité des serveurs DNS en suivant cette page.

Liens