Comment crypter votre DNS sans toucher à votre routeur avec DoH : guide complet

¿Comment crypter votre DNS sans toucher à votre routeur en utilisant DNS via HTTPS ? Si vous vous demandez qui peut voir à quels sites Web vous vous connectez, Crypter les requêtes du système de noms de domaine avec DNS via HTTPS C'est l'un des moyens les plus simples de renforcer votre confidentialité sans avoir à vous battre avec votre routeur. Avec DoH, le traducteur qui convertit les domaines en adresses IP cesse de circuler en clair et utilise un tunnel HTTPS.

Dans ce guide, vous trouverez, dans un langage direct et sans trop de jargon, Qu'est-ce que DoH exactement, en quoi diffère-t-il des autres options comme DoT, comment l'activer dans les navigateurs et les systèmes d'exploitation (y compris Windows Server 2022), comment vérifier son bon fonctionnement, les serveurs pris en charge et, si vous vous sentez courageux, même comment configurer votre propre résolveur DoH. Tout, sans toucher le routeur…à l’exception d’une section facultative pour ceux qui souhaitent le configurer sur un MikroTik.

Qu'est-ce que DNS sur HTTPS (DoH) et pourquoi cela pourrait vous intéresser

Lorsque vous saisissez un domaine (par exemple, Xataka.com), l'ordinateur demande à un résolveur DNS quelle est son IP ; Ce processus est généralement en texte clair Et n'importe qui sur votre réseau, votre fournisseur d'accès Internet ou des appareils intermédiaires peut l'espionner ou le manipuler. C'est l'essence même du DNS classique : rapide, omniprésent… et transparent pour les tiers.

C'est là qu'intervient DoH : Il déplace ces questions et réponses DNS vers le même canal crypté utilisé par le Web sécurisé (HTTPS, port 443)Ainsi, ils ne circulent plus « ouvertement », ce qui réduit les risques d'espionnage, de détournement de requêtes et de certaines attaques de l'homme du milieu. De plus, dans de nombreux tests, la latence ne s'aggrave pas sensiblement et peut même être améliorée grâce à des optimisations de transport.

Un avantage clé est que DoH peut être activé au niveau de l'application ou du système, vous n'avez donc pas besoin de dépendre de votre opérateur ou de votre routeur pour activer quoi que ce soit. Autrement dit, vous pouvez vous protéger depuis le navigateur, sans toucher à aucun équipement réseau.

Il est important de distinguer DoH de DoT (DNS sur TLS) : DoT crypte le DNS sur le port 853 directement via TLS, tandis que DoH l'intègre à HTTP(S). DoT est plus simple en théorie, mais Il est plus probable qu'il soit bloqué par des pare-feu qui coupent les ports peu courants ; DoH, en utilisant 443, contourne mieux ces restrictions et empêche les attaques forcées de « pushback » vers les DNS non chiffrés.

Concernant la confidentialité : l'utilisation de HTTPS n'implique pas de cookies ni de suivi dans DoH ; les normes déconseillent expressément son utilisation Dans ce contexte, TLS 1.3 réduit également le besoin de redémarrer les sessions, minimisant ainsi les corrélations. Si les performances vous préoccupent, HTTP/3 sur QUIC peut apporter des améliorations supplémentaires en multiplexant les requêtes sans les bloquer.

Fonctionnement du DNS, risques courants et place du DoH

Le système d’exploitation apprend normalement quel résolveur utiliser via DHCP ; À la maison, vous utilisez généralement les services Internet du FAI.Au bureau, sur le réseau d'entreprise. Lorsque cette communication est non chiffrée (UDP/TCP 53), toute personne connectée à votre Wi-Fi ou sur la route peut voir les domaines interrogés, injecter de fausses réponses ou vous rediriger vers des recherches lorsque le domaine n'existe pas, comme le font certains opérateurs.

Une analyse du trafic typique révèle les ports, les adresses IP source/destination et le domaine lui-même résolus ; Cela ne révèle pas seulement les habitudes de navigation, cela permet également de corréler plus facilement les connexions ultérieures, par exemple avec les adresses Twitter ou similaires, et de déduire les pages exactes que vous avez visitées.

Avec DoT, le message DNS passe à l'intérieur de TLS sur le port 853 ; avec DoH, la requête DNS est encapsulée dans une requête HTTPS standard, qui permet également son utilisation par des applications web via des API de navigateur. Les deux mécanismes partagent la même base : l'authentification du serveur avec un certificat et un canal chiffré de bout en bout.

Le problème avec les nouveaux ports est qu’il est courant que certains réseaux bloquent le 853, ce qui encourage les logiciels à recourir à un DNS non chiffré. DoH atténue ce problème en utilisant le protocole 443, courant sur le Web. DNS/QUIC est une autre option prometteuse, bien qu'elle nécessite un protocole UDP ouvert et ne soit pas toujours disponible.

Même lors du cryptage du transport, soyez prudent avec une nuance : Si le résolveur ment, le chiffrement ne le corrige pas.À cette fin, DNSSEC permet de valider l'intégrité des réponses, bien que son adoption soit peu répandue et que certains intermédiaires perturbent son fonctionnement. Malgré cela, DoH empêche les tiers d'espionner ou de falsifier vos requêtes.

Activez-le sans toucher le routeur : navigateurs et systèmes

Le moyen le plus simple de commencer est d’activer DoH dans votre navigateur ou votre système d’exploitation. Voici comment vous protégez les requêtes de votre équipe sans dépendre du firmware du routeur.

Google Chrome

Dans les versions actuelles, vous pouvez accéder à chrome://settings/security et, sous « Utiliser un DNS sécurisé », activer l'option et choisir le fournisseur (votre fournisseur actuel s'il prend en charge DoH ou un fournisseur de la liste de Google tel que Cloudflare ou Google DNS).

Dans les versions précédentes, Chrome proposait un commutateur expérimental : tapez chrome://flags/#dns-over-https, recherchez « Recherches DNS sécurisées » et changez-le de Par défaut à ActivéRedémarrez votre navigateur pour appliquer les modifications.

Microsoft Edge (Chromium)

Edge, basé sur Chromium, propose une option similaire. Si vous en avez besoin, rendez-vous sur edge://flags/#dns-over-https, recherchez « Recherches DNS sécurisées » et l'activer dans ActivéDans les versions modernes, l'activation est également disponible dans vos paramètres de confidentialité.

Mozilla Firefox

Ouvrez le menu (en haut à droite) > Paramètres > Général > faites défiler jusqu'à « Paramètres réseau », appuyez sur Configuration et marquez «Activer DNS sur HTTPSVous pouvez choisir parmi des fournisseurs comme Cloudflare ou NextDNS.

Si vous préférez un contrôle précis, about:config ajuster network.trr.mode: 2 (opportuniste) utilise DoH et fait un repli si non disponible ; 3 mandats (stricts) du ministère de la Santé et échoue en l'absence de prise en charge. En mode strict, définissez un résolveur d'amorçage comme network.trr.bootstrapAddress=1.1.1.1.

Opéra

Depuis la version 65, Opera inclut une option permettant activer DoH avec 1.1.1.1Il est désactivé par défaut et fonctionne en mode opportuniste : si 1.1.1.1:443 répond, il utilisera DoH ; sinon, il reviendra au résolveur non chiffré.

Windows 10/11 : détection automatique (AutoDoH) et registre

Windows peut activer automatiquement DoH avec certains résolveurs connus. Dans les versions antérieures, vous pouvez forcer le comportement à partir du Registre : exécuter regedit et allez à HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Dnscache\Parameters.

Créez un DWORD (32 bits) appelé EnableAutoDoh avec valeur 2 y Redémarrez l'ordinateurCela fonctionne si vous utilisez des serveurs DNS prenant en charge DoH.

Windows Server 2022 : client DNS avec DoH natif

Le client DNS intégré à Windows Server 2022 prend en charge DoH. Vous ne pourrez utiliser DoH qu'avec les serveurs figurant sur leur liste « DoH connu ». ou que vous ajoutiez vous-même. Pour le configurer depuis l'interface graphique :

1. Ouvrez les paramètres Windows > Réseau et Internet.
2. Entrer Ethernet et choisissez votre interface.
3. Sur l’écran du réseau, faites défiler vers le bas jusqu’à Paramètres DNS et presse Modifier.
4. Sélectionnez « Manuel » pour définir les serveurs préférés et alternatifs.
5. Si ces adresses figurent sur la liste DoH connue, elle sera activée « Cryptage DNS préféré » avec trois possibilités :
   • Cryptage uniquement (DNS sur HTTPS): Forcer DoH ; si le serveur ne prend pas en charge DoH, il n'y aura pas de résolution.
   • Privilégiez le cryptage, autorisez le non-cryptage:Tentative DoH et en cas d'échec, revient au DNS classique non chiffré.
   • Non crypté uniquement:Utilise le DNS en texte clair traditionnel.
6. Enregistrer pour appliquer les modifications.

Vous pouvez également interroger et étendre la liste des résolveurs DoH connus à l’aide de PowerShell. Pour voir la liste actuelle:

Get-DNSClientDohServerAddress

Pour enregistrer un nouveau serveur DoH connu avec votre modèle, utilisez :

Add-DnsClientDohServerAddress -ServerAddress "<IP-del-resolutor>" -DohTemplate "<URL-plantilla-DoH>" -AllowFallbackToUdp $False -AutoUpgrade $True

Notez que l'applet de commande Set-DNSClientServerAddress ne se contrôle pas Utilisation de DoH ; le chiffrement dépend de la présence ou non de ces adresses dans la table des serveurs DoH connus. Actuellement, il n'est pas possible de configurer DoH pour le client DNS Windows Server 2022 depuis le Centre d'administration Windows ou avec sconfig.cmd.

Stratégie de groupe dans Windows Server 2022

Il existe une directive appelée « Configurer DNS via HTTPS (DoH) » en Configuración del equipo\Directivas\Plantillas administrativas\Red\Cliente DNS. Lorsqu'elle est activée, vous pouvez choisir :

• Autoriser DoH: Utilisez DoH si le serveur le prend en charge ; sinon, effectuez la requête non chiffrée.
• Interdire le DoH: n'utilise jamais DoH.
• Exiger DoH: force DoH ; en l'absence de support, la résolution échoue.

Important: N'activez pas « Exiger DoH » sur les ordinateurs joints au domaineActive Directory s'appuie sur DNS, et le rôle Serveur DNS de Windows Server ne prend pas en charge les requêtes DoH. Si vous devez sécuriser le trafic DNS dans un environnement AD, envisagez d'utiliser Règles IPsec entre les clients et les résolveurs internes.

Si vous souhaitez rediriger des domaines spécifiques vers des résolveurs spécifiques, vous pouvez utiliser le NRPT (Tableau des politiques de résolution de noms). Si le serveur de destination figure sur la liste DoH connue, ces consultations voyagera à travers DoH.

Android, iOS et Linux

Sur Android 9 et supérieur, l'option DNS privé autorise DoT (pas DoH) avec deux modes : « Automatique » (opportuniste, prend le résolveur réseau) et « Strict » (vous devez spécifier un nom d'hôte validé par certificat ; les IP directes ne sont pas prises en charge).

Sur iOS et Android, l'application 1.1.1.1 Cloudflare active DoH ou DoT en mode strict en utilisant l'API VPN pour intercepter les requêtes non chiffrées et les transmettre via un canal sécurisé.

Sous Linux, systemd-résolu prend en charge DoT depuis systemd 239. Il est désactivé par défaut ; il propose un mode opportuniste sans validation des certificats et un mode strict (depuis 243) avec validation CA mais sans SNI ni vérification de nom, ce qui affaiblit le modèle de confiance contre les agresseurs sur la route.

Sous Linux, macOS ou Windows, vous pouvez opter pour un client DoH en mode strict tel que cloudflared proxy-dns (par défaut, il utilise 1.1.1.1, bien que vous pouvez définir des amonts alternatives).

Serveurs DoH connus (Windows) et comment en ajouter d'autres

Windows Server inclut une liste de résolveurs connus pour prendre en charge DoH. Vous pouvez le vérifier avec PowerShell et ajoutez de nouvelles entrées si nécessaire.

Ce sont les serveurs DoH connus prêts à l'emploi:

Propriétaire du serveur	Adresses IP du serveur DNS
Éclat nuageux	1.1.1.1 1.0.0.1 2606:4700:4700::1111 2606:4700:4700::1001
Google	8.8.8.8 8.8.4.4 2001:4860:4860::8888 2001:4860:4860::8844
Quad9	9.9.9.9 149.112.112.112 2620:fe::fe 2620:fe::fe:9

Pour Voir la liste, courir:

Get-DNSClientDohServerAddress

Pour ajouter un nouveau résolveur DoH avec son modèle, utilise :

Add-DnsClientDohServerAddress -ServerAddress "<IP-del-resolutor>" -DohTemplate "<URL-plantilla-DoH>" -AllowFallbackToUdp $False -AutoUpgrade $True

Si vous gérez plusieurs espaces de noms, le NRPT vous permettra de gérer des domaines spécifiques vers un résolveur spécifique qui prend en charge DoH.

Comment vérifier si DoH est actif

Dans les navigateurs, visitez https://1.1.1.1/help; là tu verras si votre trafic utilise DoH Avec ou sans la version 1.1.1.1. Voici un test rapide pour connaître votre statut.

Sous Windows 10 (version 2004), vous pouvez surveiller le trafic DNS classique (port 53) avec pktmon depuis une console privilégiée :

pktmon filter add -p 53
pktmon start --etw -m real-time

Si un flux constant de paquets apparaît sur le 53, il est très probable que vous utilisez toujours un DNS non chiffré. N'oubliez pas : le paramètre --etw -m real-time nécessite 2004 ; dans les versions antérieures, vous verrez une erreur « paramètre inconnu ».

Facultatif : configurez-le sur le routeur (MikroTik)

Si vous préférez centraliser le cryptage sur le routeur, vous pouvez facilement activer DoH sur les appareils MikroTik. Tout d’abord, importez l’autorité de certification racine qui sera signé par le serveur auquel vous vous connecterez. Pour Cloudflare, vous pouvez télécharger DigiCertGlobalRootCA.crt.pem.

Téléchargez le fichier sur le routeur (en le faisant glisser vers « Fichiers ») et accédez à Système > Certificats > Importer pour l'intégrer. Ensuite, configurez le DNS du routeur avec le URL DoH CloudflareUne fois actif, le routeur donnera la priorité à la connexion cryptée par rapport au DNS non crypté par défaut.

Pour valider que tout est en ordre, visitez 1.1.1.1/aide depuis un ordinateur derrière le routeur. Vous pouvez également tout faire via le terminal dans RouterOS si vous préférez.

Performances, confidentialité supplémentaire et limites de l'approche

En matière de vitesse, deux mesures comptent : le temps de résolution et le chargement réel de la page. Tests indépendants (tels que SamKnows) Ils concluent que la différence entre DoH et DNS classique (Do53) est marginale sur les deux fronts ; en pratique, vous ne devriez pas remarquer de lenteur.

DoH crypte la « requête DNS », mais il existe d’autres signaux sur le réseau. Même si vous cachez le DNS, un FAI pourrait en déduire des choses via des connexions TLS (par exemple, SNI dans certains scénarios hérités) ou d'autres traces. Pour améliorer la confidentialité, vous pouvez explorer DoT, DNSCrypt, DNSCurve ou des clients qui minimisent les métadonnées.

Tous les écosystèmes ne prennent pas encore en charge DoH. De nombreux résolveurs hérités n'offrent pas cela., imposant le recours à des sources publiques (Cloudflare, Google, Quad9, etc.). Ceci ouvre le débat sur la centralisation : concentrer les requêtes sur quelques acteurs entraîne des coûts en termes de confidentialité et de confiance.

Dans les environnements d'entreprise, DoH peut entrer en conflit avec les politiques de sécurité basées sur Surveillance ou filtrage DNS (logiciels malveillants, contrôle parental, conformité légale). Les solutions incluent la gestion des appareils mobiles (MDM) et les stratégies de groupe pour définir un résolveur DoH/DoT en mode strict, ou combinées à des contrôles au niveau de l'application, plus précis que le blocage par domaine.

DNSSEC complète DoH : DoH protège le transport ; DNSSEC valide la réponseL'adoption est inégale, et certains dispositifs intermédiaires la perturbent, mais la tendance est positive. Entre les résolveurs et les serveurs faisant autorité, le DNS reste traditionnellement non chiffré ; des expérimentations utilisant DoT sont déjà en cours chez les grands opérateurs (par exemple, la version 1.1.1.1 avec les serveurs faisant autorité de Facebook) pour renforcer la protection.

Une alternative intermédiaire consiste à crypter uniquement entre le routeur et le résolveur, laissant la connexion entre les appareils et le routeur non chiffrée. Utile sur les réseaux filaires sécurisés, mais déconseillé sur les réseaux Wi-Fi ouverts : d'autres utilisateurs pourraient espionner ou manipuler ces requêtes au sein du réseau local.

Créez votre propre résolveur DoH

Si vous souhaitez une indépendance complète, vous pouvez déployer votre propre résolveur. Non lié + Redis (cache L2) + Nginx est une combinaison populaire pour diffuser des URL DoH et filtrer des domaines avec des listes pouvant être mises à jour automatiquement.

Cette pile fonctionne parfaitement sur un VPS modeste (par exemple, un noyau/2 fils (pour une famille). Il existe des guides avec des instructions prêtes à l'emploi, comme ce dépôt : github.com/ousatov-ua/dns-filtering. Certains fournisseurs VPS offrent des crédits de bienvenue pour les nouveaux utilisateurs, afin que vous puissiez mettre en place un essai à faible coût.

Avec votre résolveur privé, vous pouvez choisir vos sources de filtrage, décider des politiques de rétention et évitez de centraliser vos requêtes à des tiers. En contrepartie, vous gérez la sécurité, la maintenance et la haute disponibilité.

Avant de conclure, une note de validité : sur Internet, les options, les menus et les noms changent fréquemment ; certains anciens guides sont obsolètes (Par exemple, il n’est plus nécessaire de passer par les « drapeaux » dans Chrome dans les versions récentes.) Vérifiez toujours votre navigateur ou la documentation de votre système.

Si vous êtes arrivé jusqu'ici, vous savez déjà ce que fait DoH, comment il s'intègre dans le puzzle avec DoT et DNSSEC, et surtout, comment l'activer dès maintenant sur votre appareil Pour empêcher le DNS de circuler en clair. En quelques clics dans votre navigateur ou en modifiant Windows (même au niveau des politiques dans Server 2022), vos requêtes seront chiffrées. Pour aller plus loin, vous pouvez déplacer le chiffrement vers le routeur MikroTik ou créer votre propre résolveur. L'essentiel est que… Sans toucher à votre routeur, vous pouvez protéger l’une des parties les plus discutées de votre trafic aujourd’hui..