Cet article explique le DNS via HTTPS et comment l’activer, en modifier les paramètres ou désactiver cette fonctionnalité.
Table des matières
- 1 DNS via HTTPS
- 2 Bénéfices
- 3 Risques
- 4 À propos de notre déploiement du DNS via HTTPS
- 5 Désactivation
- 6 Activation, désactivation et configuration du DNS via HTTPS
- 7 Activation et désactivation manuelles du DNS via HTTPS
- 8 Changer de fournisseur
- 9 Exclure des domaines spécifiques
- 10 Configuration des réseaux pour désactiver le DoH
- 11 Client chiffré Hello (ECH)
DNS via HTTPS
Quand vous saisissez une adresse web ou un nom de domaine dans la barre d’adresse (par exemple www.mozilla.org), votre navigateur envoie une requête vers Internet pour rechercher l’adresse IP de ce site web. Habituellement, cette requête est envoyée vers des serveurs au travers d’une connexion en texte brut. Cette connexion n’est pas chiffrée, ce qui rend facile à des tiers de voir sur quel site web vous allez vous rendre.
Le DNS via HTTPS (DNS over HTTPS en anglais, abrégé en DoH) fonctionne différemment. Ce protocole envoie le nom de domaine saisi vers un serveur DNS compatible avec le DoH en utilisant une connexion chiffrée HTTPS au lieu d’une connexion en texte brut. Les tiers sont ainsi empêchés de voir à quels sites web vous essayez d’accéder.
Bénéfices
Le DoH améliore la confidentialité en masquant les recherches de noms de domaine à quelqu’un rôdant sur un Wi-Fi public, votre FAI ou d’autres personnes dans votre réseau local. Le DoH, quand il est activé, assure que votre fournisseur d’accès à Internet (FAI) ne peut pas collecter et vendre des informations personnelles relatives à vos habitudes de navigation.
Risques
- Quelques personnes et organisations s’appuient sur le système des noms de domaine (Domain Name System abrégé en DNS) pour bloquer des logiciels malveillants, activer le contrôle parental ou filtrer les accès aux sites web de votre navigateur. Quand il est activé, le DoH contourne la résolution DNS locale et déjoue ces stratégies particulières. Lors de l’activation du DoH par défaut, Firefox permet aux utilisateurs et utilisatrices (par les paramètres) et aux organisations (par les stratégies d’entreprise et la recherche d’un domaine canari) de désactiver DoH quand celui-ci interfère avec une stratégie prioritaire.
- Lorsque le DoH est activé, Firefox dirige par défaut les requêtes DoH vers des serveurs DNS gérés par un partenaire de confiance qui a la possibilité de voir les requêtes des utilisateurs et utilisatrices. Mozilla a mis en place une sévère politique Trusted Recursive Resolver ou TRR (wiki en anglais) qui interdit à nos partenaires de collecter des informations personnelles permettant l’identification. Pour diminuer ce risque, nos partenaires s’engagent contractuellement à respecter cette politique.
- Les requêtes DoH pourraient se révéler plus lentes que les requêtes DNS habituelles, mais, par nos tests, nous avons mis en évidence que l’impact est minimal et, dans de nombreux cas, DoH se montre plus rapide (billet de blog en anglais).
À propos de notre déploiement du DNS via HTTPS
Nous avons terminé en 2019 le déploiement du DoH par défaut pour toutes les personnes utilisant Firefox pour ordinateur aux États-Unis et en 2021 pour toutes celles l’utilisant au Canada. Nous avons commencé en mars 2022 notre déploiement par défaut pour les utilisateurs et utilisatrices de Firefox pour ordinateur en Russie et en Ukraine. Nous travaillons actuellement au déploiement du DoH dans d’autres pays. Ce faisant, le DoH est activé pour tous les utilisateurs et utilisatrices en mode fallback (avec solution de repli). Par exemple, si les recherches de nom de domaine qui utilisent le DoH échouent pour une raison quelconque, Firefox utilise le serveur DNS par défaut du système d’exploitation plutôt qu’afficher une erreur.
Désactivation
Si vous utilisez actuellement Firefox dans une région où nous avons déployé le DoH par défaut, vous recevrez une notification dans Firefox lors d’une éventuelle première activation. Vous pourrez alors choisir de ne pas utiliser le DoH et de continuer à utiliser le résolveur DNS par défaut de son système d’exploitation.
En outre, Firefox vérifie certaines fonctions de l’appareil qui pourraient être affectées si le DoH est activé, ce qui comprend :
- Les contrôles parentaux sont-ils activés ?
- Le serveur DNS par défaut filtre-t-il les contenus potentiellement dangereux ?
- L’appareil est-il administré par une organisation qui pourrait avoir une configuration spécifique de DNS ?
Si l’un de ces tests détermine que le DoH pourrait interférer avec une des fonctions, le DoH n’est pas activé. Ces tests s’exécutent chaque fois que l’appareil se connecte à un réseau différent.
Activation, désactivation et configuration du DNS via HTTPS
Consultez l’article Configurer les niveaux de la protection par DNS via HTTPS dans Firefox.
Activation et désactivation manuelles du DNS via HTTPS
Vous pouvez activer et désactiver le DoH dans les paramètres de connexion de Firefox :
- Dans la barre des menus en haut de l’écran, cliquez sur et sélectionnez ou selon la version de votre macOS.Cliquez sur le bouton de menu et sélectionnez
- Dans le panneau , descendez jusqu’à Paramètres réseau et cliquez sur le bouton
- Dans la boîte de dialogue qui s’ouvre, descendez jusqu’à Activer le DNS via HTTPS.
- Activer : cochez la case à côté d’Activer le DNS via HTTPS.
- Sélectionnez un fournisseur ou configurez un fournisseur personnalisé (voir ci-dessous).
- Désactiver : décochez la case à côté d’Activer le DNS via HTTPS.
- Activer : cochez la case à côté d’Activer le DNS via HTTPS.
- Cliquez sur pour enregistrer vos changements et fermer la boîte.
Changer de fournisseur
- Dans la barre des menus en haut de l’écran, cliquez sur et sélectionnez ou selon la version de votre macOS.Cliquez sur le bouton de menu et sélectionnez
- Dans le panneau , descendez jusqu’à Paramètres réseau et cliquez sur le bouton
- Au bas de la fenêtre qui s’ouvre, cliquez dans le menu déroulant Utiliser le fournisseur sous Activer le DNS via HTTPS pour choisir un fournisseur dans la liste.
- Vous pouvez sélectionner Personnalisé pour configurer un fournisseur personnalisé.
- Cliquez sur pour enregistrer vos changements et fermer la boîte.
Exclure des domaines spécifiques
Vous pouvez configurer des exceptions de façon à ce que Firefox utilise le résolveur de votre système d’exploitation plutôt que le DoH :
Ne poursuivez que si vous êtes à l’aise avec les paramètres avancés et en comprenez les effets potentiels.
- Saisissez about:config dans la barre d’adresse de Firefox, puis appuyez sur EntréeRetour
Une page d’avertissement peut apparaître. Cliquez sur pour accéder à la page about:config. - Recherchez la préférence network.trr.excluded-domains
- Cliquez sur le bouton Modifier à côté de la préférence.
- Ajoutez des domaines à la liste en les séparant par des virgules et cliquez sur la coche pour enregistrer la modification.
Au sujet des sous-domaines : Firefox vérifie tous les domaines répertoriés dans la préférence network.trr.excluded-domains et leurs sous-domaines. Par exemple, si vous saisissez example.com, Firefox va aussi exclure www.example.com.
Configuration des réseaux pour désactiver le DoH
Client chiffré Hello (ECH)
Avec la version de Firefox 118, nous déployons une fonctionnalité de sécurité importante : le client chiffré Hello (ECH). Sa fonction principale est de renforcer la sécurité de l’établissement des liaisons initiales, la prise de contact, le handshake (littéralement « poignée de main »), au cours d’interactions sur Internet. L’ECH, associé au DNS via HTTPS (DoH), élève d’un cran la sécurité de la navigation :
- DoH comme condition préalable : tel qu’il est mis en œuvre dans Firefox, l’ECH repose sur DoH pour récupérer la clé nécessaire au chiffrement de la prise de contact. Sans DoH activé, ECH ne peut fonctionner.
- Protection synergique : DoH chiffre les requêtes adressées aux serveurs DNS, protégeant ainsi efficacement la conversion des noms de sites web en adresses IP. De son côté, ECH se concentre sur le chiffrement des échanges initiaux entre le navigateur et le site web. Ensemble, ils constituent une défense complète contre de nombreuses menaces informatiques.
- Protection renforcée : en activant à la fois ECH et DoH, les utilisateurs et utilisatrices bénéficient d’une double couche de protection de la vie privée, ce qui réduit les vulnérabilités potentielles et accroît la discrétion sur Internet.
Assurez-vous que DoH est activé dans Firefox pour bénéficier pleinement des améliorations de sécurité fournies par l’ECH. Pour une compréhension approfondie, consultez les articles Comprendre le client chiffré Hello (ECH) et Le client chiffré Hello (ECH) – questions courantes.