DNS over TLS

Si ce bandeau n'est plus pertinent, retirez-le. Cliquez ici pour en savoir plus.
Si ce bandeau n'est plus pertinent, retirez-le. Cliquez ici pour en savoir plus.

La mise en forme de cet article est à améliorer ().

La mise en forme du texte ne suit pas les recommandations de Wikipédia : il faut le « wikifier ».

DNS over TLS

Informations
Fonction Requêtes DNS sur Transport Layer Security (TLS)
Sigle DoT
Date de création mai 2016
Port 853[1]
RFC 2016 : RFC 7858
2018 : RFC 8310

modifier

DNS over TLS (DoT) est un protocole de sécurité pour le chiffrement et l'encapsulation des requêtes et des réponses DNS via le protocole TLS. Le but de la méthode est d'augmenter la confidentialité et la sécurité des utilisateurs en empêchant les écoutes et la manipulation des données DNS par des attaques man-in-the-middle .

En 2020, Cloudflare, Quad9, Google, Quadrant Information Security, CleanBrowsing, LibreOps, DNSlify[2] Telsy (it)[3], AdGuard et Digitalcourage proposaient un résolveur DNS public avec la technologie DNS over TLS[4],[5],[6],[7],[8].

En avril 2018, Google a annoncé que Android Pie allait supporter cette technologie, permettant ainsi aux utilisateurs de se connecter à un serveur DNS aussi bien en Wi-Fi qu'en connexion cellulaire, une option qui restait possible jusqu'à présent seulement aux utilisateurs ayant rooté leur téléphone. DNSDist, de PowerDNS, a également annoncé le support de la technologie en version 1.3.0[9]. Les utilisateurs de BIND peuvent aussi utiliser DoT en utilisant un proxy avec stunnel[10]. Unbound supporte DoT depuis le 22 janvier 2018[11],[12]. Unwind supporte DoT depuis le 29 janvier 2019[13],[14]. Avec le support de la technologie par Android Pie et supérieur, des bloqueurs de publicité supportent eux aussi l'utilisation de ce protocole chiffré[15],[16],[17].

Implémentations

De nombreux serveurs récursifs publics prennent en charge DoT, mais les systèmes clients sont souvent tenus de s'inscrire.

Les clients Android exécutant Android 9 (Pie) ou plus récent prennent en charge DNS sur TLS[18].

Les utilisateurs de Linux et de Windows peuvent utiliser le DNS sur TLS comme client par l'intermédiaire du démon Stubby Labs de NLnet Labs ou du Knot Resolver[19]. Ils peuvent également installer des getdns-utils[20] pour utiliser DoT directement avec l'outil getdns_query. Le résolveur de DNS non lié de NLnet Labs prend également en charge le DNS over TLS[21].

iOS 14 d'Apple a introduit le support de DoT (et DNS over HTTPS) au niveau du système d'exploitation. iOS ne permet pas la configuration manuelle des serveurs DoT, et nécessite l'utilisation d'une application tierce pour effectuer les changements de configuration[22].

Systemd-resolved est une implémentation Linux uniquement qui peut être configurée pour utiliser DNS over TLS, en éditant /etc/systemd/resolved.conf et en activant le paramètre DNSOverTLS[23],[24]. La plupart des principales distributions Linux ont systemd installé par défaut.

PersonalDNSfilter [25] est un filtre DNS open source prenant en charge DoT et DoH (DNS over HTTPS) pour les appareils compatibles Java, y compris Android.

Nebulo [26] est une application Open Source permettant de changer la configuration DNS pour Android, et prend en charge DoT et DoH.

Critiques et considérations de mise en œuvre

Cette section ne respecte pas la neutralité de point de vue. (août 2021).
Considérez son contenu avec précaution ou discutez-en. Il est possible de souligner les passages non neutres en utilisant {{passage non neutre}}.
N.B. Ce modèle est à réserver à des cas simples d'articles pouvant être neutralisés par un contributeur seul sans qu'un débat soit nécessaire. Lorsque le problème de neutralité est plus profond, préférez le bandeau {{Désaccord de neutralité}} et suivez la procédure décrite.

DoT peut entraver l'analyse et la surveillance du trafic DNS à des fins de cybersécurité. DoT a été utilisé pour contourner les contrôles parentaux qui fonctionnent au niveau DNS standard (non chiffré); Circle, un routeur de contrôle parental qui s'appuie sur des requêtes DNS pour vérifier les domaines par rapport à une liste de blocage, bloque DoT par défaut pour cette raison[27]. Cependant, il existe des fournisseurs DNS qui offrent le filtrage et le contrôle parental ainsi que la prise en charge de DoT et DoH[28],[29],[30],[31]. Dans ce scénario, les requêtes DNS sont vérifiées par rapport aux listes de blocage une fois qu'elles sont reçues par le fournisseur plutôt qu'avant de quitter le routeur de l'utilisateur.

Le chiffrement protège des observations par des tiers, mais ne permet pas de se protéger du serveur DoT (qui, lui, a accès aux données déchiffrées).

Les clients DoT n'interrogent directement aucun serveur de noms faisant autorité. Au lieu de cela, le client s'appuie sur le serveur DoT à l'aide de requêtes traditionnelles (port 53 ou 853) pour enfin atteindre les serveurs faisant autorité. Ainsi, DoT ne se qualifie pas comme un protocole chiffré de bout en bout, seulement chiffré de saut en saut et uniquement si DNS sur TLS est utilisé de manière cohérente.

Articles connexes

Références

  1. Port spécifié dans les sections 3.1 et 6 de la RFC 7858, quel que soit le protocole de transport TCP ou UDP, et distinct du port 53 alloué par défaut au protocole DNS non encapsulé.
  2. « Public DNS resolver | DNSlify - DNSlify | Anycast DNS for All », www.dnslify.com (consulté le ).
  3. (en-US) « Telsy TRT » (consulté le ).
  4. (en-US) « How to keep your ISP's nose out of your browser history with encrypted DNS », Ars Technica (consulté le ).
  5. (en) « DNS over TLS - Cloudflare Resolver », developers.cloudflare.com (consulté le ).
  6. (en) « Google Public DNS now supports DNS-over-TLS », Google Online Security Blog (consulté le ).
  7. « Quad9, a Public DNS Resolver - with Security », RIPE Labs (consulté le ).
  8. (en) « LibreDNS », LibreDNS (consulté le ).
  9. « DNS-over-TLS », dnsdist.org (consulté le ).
  10. « Bind - DNS over TLS ».
  11. « Unbound version 1.7.3 Changelog ».
  12. (en) « Actually secure DNS over TLS in Unbound », Ctrl blog (consulté le ).
  13. « openbsd-cvs mailing list archives ».
  14. « openbsd-cvs mailing list archives ».
  15. « blockerDNS - Block Ads and Online Trackers So You Can Browse the Web Privately on Your Android Phone Without Installing an App! », blockerdns.com (consulté le ).
  16. (en) « The official release of AdGuard DNS — a new unique approach to privacy-oriented DNS », AdGuard Blog (consulté le ).
  17. « Blahdns -- Dns service support DoH, DoT, DNSCrypt », blahdns.com (consulté le ).
  18. (en) « DNS over TLS support in Android P Developer Preview », Android Developers Blog (consulté le ).
  19. « Knot Resolver ».
  20. (en) Package: getdns-utils (lire en ligne).
  21. (en) « Unbound - About », sur NLnet Labs (consulté le ).
  22. (en) Cimpanu, « Apple adds support for encrypted DNS (DoH and DoT) », ZDNet (consulté le ).
  23. « resolved.conf manual page » (consulté le ).
  24. « Fedora Magazine: Use DNS over TLS » (consulté le ).
  25. « personalDNSfilter - a personal open source dns filter for stopping ads and more », zenz-solutions.de (consulté le ).
  26. (en) « Nebulo - DNS Changer for DNS over HTTPS/TLS - Apps on Google Play », play.google.com (consulté le ).
  27. (en-US) « Managing encrypted DNS connections (DNS over TLS, DNS over HTTPS) with Circle », Circle Support Center (consulté le ).
  28. (en) Inc, « Parental Control with DNS over TLS Support », CleanBrowsing (consulté le ).
  29. (en) Inc, « Parental Control with DNS Over HTTPS (DoH) Support », CleanBrowsing (consulté le ).
  30. (en) blockerDNS, « blockerDNS - Products », blockerdns.com (consulté le ).
  31. (en) « Protect your privacy with DNS-over-TLS on SafeDNS », SafeDNS (consulté le ).

Liens externes