DNS over TLS
DNS over TLS (DoT) est un protocole de sécurité pour le chiffrement et l'encapsulation des requêtes et des réponses DNS via le protocole TLS. Le but de la méthode est d'augmenter la confidentialité et la sécurité des utilisateurs en empêchant les écoutes et la manipulation des données DNS par des attaques man-in-the-middle .
En 2020, Cloudflare, Quad9, Google, Quadrant Information Security, CleanBrowsing, LibreOps, DNSlify[1] Telsy (it)[2], AdGuard et Digitalcourage proposaient un résolveur DNS public avec la technologie DNS over TLS[3],[4],[5],[6],[7].
En avril 2018, Google a annoncé que Android Pie allait supporter cette technologie, permettant ainsi aux utilisateurs de se connecter à un serveur DNS aussi bien en Wifi qu'en connexion cellulaire, une option qui restait possible jusqu'à présent seulement aux utilisateurs ayant rooté leur téléphone. DNSDist, de PowerDNS, a également annoncé le support de la technologie en version 1.3.0[8]. Les utilisateurs de BIND peuvent aussi utiliser DoT en utilisant un proxy avec stunnel[9]. Unbound supporte DoT depuis le 22 janvier 2018[10],[11]. Unwind supporte DoT depuis le 29 janvier 2019[12],[13]. Avec le support de la technologie par Android Pie et supérieur, des bloqueurs de publicité supportent eux aussi l'utilisation de ce protocole chiffré[14],[15],[16].
Implémentations
De nombreux serveurs récursifs publics prennent en charge DoT, mais les systèmes clients sont souvent tenus de s'inscrire.
Les clients Android exécutant Android 9 (Pie) ou plus récent prennent en charge DNS sur TLS[17].
Les utilisateurs de Linux et de Windows peuvent utiliser le DNS sur TLS comme client par l'intermédiaire du démon Stubby Labs de NLnet Labs ou du Knot Resolver[18]. Ils peuvent également installer des getdns-utils[19] pour utiliser DoT directement avec l'outil getdns_query. Le résolveur de DNS non lié de NLnet Labs prend également en charge le DNS over TLS[20].
iOS 14 d'Apple a introduit le support de DoT (et DNS over HTTPS) au niveau du système d'exploitation. iOS ne permet pas la configuration manuelle des serveurs DoT, et nécessite l'utilisation d'une application tierce pour effectuer les changements de configuration[21].
Systemd-resolved est une implémentation Linux uniquement qui peut être configurée pour utiliser DNS over TLS, en éditant /etc/systemd/resolved.conf
et en activant le paramètre DNSOverTLS
[22],[23]. La plupart des principales distributions Linux ont systemd installé par défaut.
PersonalDNSfilter [24] est un filtre DNS open source prenant en charge DoT et DoH (DNS over HTTPS) pour les appareils compatibles Java, y compris Android.
Nebulo [25] est une application Open Source permettant de changer la configuration DNS pour Android, et prend en charge DoT et DoH.
Critiques et considérations de mise en œuvre
DoT peut entraver l'analyse et la surveillance du trafic DNS à des fins de cybersécurité. DoT a été utilisé pour contourner les contrôles parentaux qui fonctionnent au niveau DNS standard (non chiffré); Circle, un routeur de contrôle parental qui s'appuie sur des requêtes DNS pour vérifier les domaines par rapport à une liste de blocage, bloque DoT par défaut pour cette raison[26]. Cependant, il existe des fournisseurs DNS qui offrent le filtrage et le contrôle parental ainsi que la prise en charge de DoT et DoH[27],[28],[29],[30]. Dans ce scénario, les requêtes DNS sont vérifiées par rapport aux listes de blocage une fois qu'elles sont reçues par le fournisseur plutôt qu'avant de quitter le routeur de l'utilisateur.
Le chiffrement protège des observations par des tiers, mais ne permet pas de se protéger du serveur DoT (qui, lui, a accès aux données déchiffrées).
Les clients DoT n'interrogent directement aucun serveur de noms faisant autorité. Au lieu de cela, le client s'appuie sur le serveur DoT à l'aide de requêtes traditionnelles (port 53 ou 853) pour enfin atteindre les serveurs faisant autorité. Ainsi, DoT ne se qualifie pas comme un protocole chiffré de bout en bout, seulement chiffré de saut en saut et uniquement si DNS sur TLS est utilisé de manière cohérente.
Articles connexes
Références
- « Public DNS resolver | DNSlify - DNSlify | Anycast DNS for All », www.dnslify.com (consulté le ).
- (en-US) « Telsy TRT » (consulté le ).
- (en-US) « How to keep your ISP's nose out of your browser history with encrypted DNS », Ars Technica (consulté le ).
- (en) « DNS over TLS - Cloudflare Resolver », developers.cloudflare.com (consulté le ).
- (en) « Google Public DNS now supports DNS-over-TLS », Google Online Security Blog (consulté le ).
- « Quad9, a Public DNS Resolver - with Security », RIPE Labs (consulté le ).
- (en) « LibreDNS », LibreDNS (consulté le ).
- « DNS-over-TLS », dnsdist.org (consulté le ).
- « Bind - DNS over TLS ».
- « Unbound version 1.7.3 Changelog ».
- (en) « Actually secure DNS over TLS in Unbound », Ctrl blog (consulté le ).
- « openbsd-cvs mailing list archives ».
- « openbsd-cvs mailing list archives ».
- « blockerDNS - Block Ads and Online Trackers So You Can Browse the Web Privately on Your Android Phone Without Installing an App! », blockerdns.com (consulté le ).
- (en) « The official release of AdGuard DNS — a new unique approach to privacy-oriented DNS », AdGuard Blog (consulté le ).
- « Blahdns -- Dns service support DoH, DoT, DNSCrypt », blahdns.com (consulté le ).
- (en) « DNS over TLS support in Android P Developer Preview », Android Developers Blog (consulté le ).
- « Knot Resolver ».
- (en) Package: getdns-utils (lire en ligne).
- (en) « Unbound - About », sur NLnet Labs (consulté le ).
- (en) Cimpanu, « Apple adds support for encrypted DNS (DoH and DoT) », ZDNet (consulté le ).
- « resolved.conf manual page » (consulté le ).
- « Fedora Magazine: Use DNS over TLS » (consulté le ).
- « personalDNSfilter - a personal open source dns filter for stopping ads and more », zenz-solutions.de (consulté le ).
- (en) « Nebulo - DNS Changer for DNS over HTTPS/TLS - Apps on Google Play », play.google.com (consulté le ).
- (en-US) « Managing encrypted DNS connections (DNS over TLS, DNS over HTTPS) with Circle », Circle Support Center (consulté le ).
- (en) Inc, « Parental Control with DNS over TLS Support », CleanBrowsing (consulté le ).
- (en) Inc, « Parental Control with DNS Over HTTPS (DoH) Support », CleanBrowsing (consulté le ).
- (en) blockerDNS, « blockerDNS - Products », blockerdns.com (consulté le ).
- (en) « Protect your privacy with DNS-over-TLS on SafeDNS », SafeDNS (consulté le ).