DNS sur HTTPS

 · Temps de lecture: 1 min

DNS sur HTTPS


Le DNS sur HTTPS est un concept relativement nouveau développé par l’Internet Engineering Task Force (IETF) qui consiste à effectuer des requêtes DNS sur du HTTPS crypté, donc à chiffrer les requêtes.

Les objectifs

Le DNS sur HTTPS, tel que défini dans la RFC 8484, a pour principal objectif de protéger la vie privée de l’utilisateur lorsque celui-ci se connecte à un site Web particulier. Comme nous le savons, le site sera dirigé vers une adresse IP avec le résolveur DNS, mais le DNS sur HTTPS assure la sécurité et empêche l’écoute et la manipulation des réponses DNS….

Questions d’ordre technique

Le DNS sur HTTPS utilise plusieurs technologies qui le rendent d’une utilité flagrante :

  • HTTPS pour sécuriser les communications
  • HTTP/2 pour diminuer la latence + éventuellement H/2 Server Push (prévisibilité)
  • DNS au format filaire et son propre type MIME

Mise en œuvre

Le DNS sur HTTPS est implémenté d’une manière qui ressemble à une relation entre un résolveur DNS compatible DoH et son client. Il n’y a pas de clients natifs qui existent dans les systèmes d’exploitation, bien que des clients tiers (par ex. : navigateurs) le supportent comme Mozilla Firefox. Les alternatives pour le support DoH sont les proxies DoH, qui font les requêtes DoH mais relaient ensuite les données comme un résolveur DNS normal à l’application/système non compatible via le port UDP 53. L’implémentation actuelle permet de crypter les requêtes, mais certains éléments comme l’en-tête SNI (Server Name Indication header) seront toujours transmis en texte clair, avant une connexion TLS.

Services supportant DoH

  • Cloudflare (https://cloudflare-dns.com/dns-query)
  • Google (https://mozilla.cloudflare-dns.com/dns-query)
  • CleanBrowsing (trop d’endpoints pour que l’URL soit listée)

Vous pouvez également héberger votre propre site en utilisant DNSCrypt….

Configuration

Configurer le DNS via HTTPS n’est peut-être pas une tâche facile. Cela dépend vraiment du niveau de support de DoH pour votre application ou OS. Voici un guide pour Mozilla Firefox, qui a maintenant un support natif pour cela.