Pourquoi privilégier la version DNS sur HTTPS au protocole DNS classique
Lorsque votre navigateur se connecte à un site web, il doit d’abord traduire le nom de domaine de l’URL sémantique (par exemple, Netwrix.fr) en adresse IP du serveur public qui héberge le site. C’est ce qu’on appelle la « résolution DNS ». Contrairement au trafic web HTTPS actuel, qui est aujourd’hui presque entièrement sécurisé à l’aide du protocole HTTPS, le protocole DNS classique n’est pas chiffré.
Sélection de contenu connexe :
Si le protocole HTTPS chiffre vos communications une fois que vous êtes connecté à un site web, vous vous demandez peut-être pourquoi il est important que la résolution DNS initiale soit également chiffrée. Le protocole DNS classique non chiffré permet aux attaquants présents sur le même réseau que vous de savoir quels sites web vous visitez, et d’éventuellement réacheminer vos résolutions DNS vers des sites malveillants ou des tentatives d’hameçonnage (phishing).
DNS sur HTTPS (DoH) a été créé pour les empêcher de surveiller vos habitudes de navigation ou de vous rediriger vers des sites malveillants en espionnant le trafic DNS. Au lieu de communiquer en texte brut, DoH combine les requêtes DNS avec la puissance de chiffrement du protocole HTTPS. Une résolution DNS classique est effectuée sans chiffrement sur le port 53, tandis qu’une résolution DoH utilise le port 443, à l’intérieur du trafic HTTPS. Depuis Windows Server 2022, le client DNS prend en charge le protocole DNS sur HTTPS, qui peut être activé sur tous les ordinateurs Active Directory compatibles grâce aux stratégies de groupe.
Il s’agit d’un simple aperçu du protocole DNS sur HTTPS, mais en réalité, du point de vue de l’utilisateur final, c’est tout ce que vous devez savoir. Il est recommandé d’activer le protocole DNS sur HTTPS lorsque vous le pouvez. Dans ce billet, nous vous expliquerons comment le faire sous Windows 10.
Bien que ce ne soit pas le sujet de cet article, Apple a également annoncé la prise en charge du protocole DNS sur HTTPS (DoH) pour iOS et macOS. Cloudflare propose leur puissant outil de résolution DNS 1.1.1.1 pour ajouter une couche de sécurité à différents systèmes d’exploitation mobiles ou de bureau.
De nombreux navigateurs, notamment Firefox et les navigateurs basés sur Chromium, prennent aussi en charge le protocole DoH, si vous préférez l’activer en fonction de l’application que vous utilisez plutôt qu’au niveau du système d’exploitation. Toutefois, l’activation du protocole DoH au niveau du système d’exploitation peut s’avérer utile pour les applications qui ne le prennent pas en charge de manière native. Par ailleurs, la résolution DNS constitue une fonction classique des OS, plutôt que des navigateurs.
Comment activer le protocole DNS sur HTTPS sous Windows 10
Activer le protocole DNS sur HTTPS sous Windows 10 permet de rendre disponible cette fonctionnalité à l’ensemble des utilisateurs et des applications qui envoient des requêtes de résolution DNS, notamment les navigateurs web. Veillez à ce que Windows 10 soit à jour pour être sûr que la fonctionnalité soit disponible.
Activer le protocole DoH à l’aide du registre de Windows 10
Pour activer le protocole DNS sur HTTPS dans le registre de Windows 10 (build 19628 ou supérieur) :
- Ouvrez l’éditeur du registre
- Allez à : HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesDnscacheParameters
- Créez une nouvelle valeur DWORD, appelez-la « EnableAutoDoh », et donnez-lui la valeur 2.
Éditeur du registre de Windows 10 affichant la valeur « EnableAutoDoh » qui permet d’activer le protocole DNS sur HTTPS
- Redémarrez l’hôte.
- Dans votre configuration réseau, modifiez les serveurs DNS primaires et secondaires de votre connexion réseau dans la fenêtre « Propriétés de : Internet Protocol Version 4 (TCP/IPv4) » de votre adaptateur réseau.
Les adresses de serveur suivantes sont actuellement prises en charge pour le protocole DNS sur HTTPS sous Windows 10 :
- Cloudflare — Primaire : 1.1.1.1, Secondaire : 1.0.0.1
- Google — Primaire : 8.8.8.8, Secondaire : 8.8.4.4
- Quad9 — Primaire : 9.9.9.9, Secondaire : 149.112.112.112
Fenêtre « Propriétés de : Internet Protocol Version 4 (TCP/IPv4) » d’un adaptateur réseau sous Windows 10, paramétré pour utiliser la fonction DNS sur HTTPS de Cloudfare
Activer le protocole DoH à l’aide du menu Réseau et Internet des paramètres de Windows 10
Pour activer le protocole DoH à l’aide du menu Réseau et Internet des paramètres de Windows 10 (build 20185 ou supérieur) :
- Sélectionnez Paramètres dans le menu Démarrer.
- Cliquez sur Paramètres réseau avancés.
- Sous Statut du réseau, ouvrez le menu Propriétés correspondant à la connexion Internet.
- Cliquez sur Modifier sous Attribution du serveur DNS.
- Sélectionnez l’option Manuel, et précisez ensuite le DNS préféré et une adresse IP DNS secondaire. Windows 10 prend actuellement en charge les fournisseurs de DNS suivants :
- Cloudflare — Primaire : 1.1.1.1, Secondaire : 1.0.0.1
- Google — Primaire : 8.8.8.8, Secondaire : 8.8.4.4
- Quad9 — Primaire : 9.9.9.9, Secondaire : 149.112.112.112
- Sélectionnez « Encrypted only (DNS over HTTPS) » sous DNS préféré et Autre DNS.
- Si vous le souhaitez, vous pouvez en faire de même pour le protocole IPv6 (les étapes précédentes s’appliquaient au protocole IPv4).
Protocole DNS sur HTTPS activé sous Windows 10
Selon Microsoft, « une fois le chiffrement activé, vous pouvez vous assurer de son bon fonctionnement en vérifiant dans les propriétés réseau les serveurs DNS modifiés qui seront indiqués comme étant “(chiffrés)” ».
Activer le protocole DoH à l’aide de stratégies de groupe
Depuis Windows Server 2022, il est possible d’activer le protocole DoH au niveau du domaine. La modification des paramètres DNS sur HTTPS est possible de manière globale grâce à la stratégie Configurer la résolution de noms DNS sur HTTPS (DoH), que vous trouverez dans l’Éditeur de stratégie de groupe, dans le nœud Configuration ordinateur > Stratégies > Modèles d’administration > Réseau > Client DNS :
Si vous souhaitez ajouter un nouveau serveur DoH à la liste des serveurs connus, vous pouvez le faire en utilisant la cmdlet PowerShell Add-DnsClientDohServerAddress.
Pour vérifier la liste des serveurs DoH utilisés pour la résolution de noms, vous pouvez utiliser la commande PowerShell suivante : Get-DNSClientDohServerAddress.
FAQ
Qu’est-ce que le protocole DNS sur HTTPS ?
DNS sur HTTPS (DoH) est un protocole qui permet d’effectuer la résolution des noms de domaine distant (DNS) à l’aide du protocole HTTPS.
Devrais-je utiliser le protocole DNS sur HTTPS ?
Lorsque le protocole DoH est activé, vous pouvez contourner la censure, améliorer la sécurité de votre trafic réseau et la confidentialité de votre réseau.
Le protocole DNS sur HTTPS est-il activé par défaut ?
Non, vous devez l’activer de manière manuelle sur votre poste de travail ou à l’aide d’une stratégie de groupe.
Comment activer le protocole DNS sur HTTPS ?
Pour activer le protocole DNS sur HTTPS sous Windows 10, ouvrez le menu Réseau et Internet dans Paramètres, allez à Statut du réseau, cliquez sur Propriétés et sélectionnez Attribution d’adresse IP ou Attribution du serveur DNS.
Comment vérifier les paramètres DNS sur HTTPS ?
Pour vérifier vos paramètres DNS sur HTTPS, ouvrez le menu Réseau et Internet dans Paramètres, allez à Statut du réseau, cliquez sur Propriétés et sélectionnez Attribution d’adresse IP ou Attribution du serveur DNS.
Windows 10 prend-il en charge le protocole DNS over HTTPS ?
Depuis le build 19628 (ou supérieur) de Windows 10, le protocole DoH est pris en charge.