DNS sur TLS et DNS sur HTTPS | DNS sécurisé

Les requêtes DNS sont envoyées en texte brut, ce qui signifie que tout le monde peut les lire. Le DNS sur HTTPS et le DNS sur TLS chiffrent les requêtes et les réponses du DNS pour que la navigation des utilisateurs reste sécurisée et privée. Cependant, les deux approches ont leurs avantages et leurs inconvénients.

Objectifs d’apprentissage

Cet article s'articule autour des points suivants :

  • Comprendre pourquoi le DNS a besoin d'une plus grande sécurité et pourquoi la confidentialité du DNS est importante
  • Découvrez le fonctionnement du DNS sur TLS et du DNS sur HTTPS ainsi que les différences entre les deux
  • Expliquer les avantages et les inconvénients des deux approches
  • Comparer le DNS sur TLS ou sur HTTPS au DNSSEC

Copier le lien de l'article

Pourquoi le DNS a-t-il besoin de couches de sécurité supplémentaires ?

DNS is the phonebook of the Internet; DNS resolvers translate human-readable domain names into machine-readable IP addresses. By default, DNS queries and responses are sent in plaintext (via UDP), which means they can be read by networks, ISPs, or anybody able to monitor transmissions. Even if a website uses HTTPS, the DNS query required to navigate to that website is exposed.

This lack of privacy has a huge impact on security and, in some cases, human rights; if DNS queries are not private, then it becomes easier for governments to censor the Internet and for attackers to stalk users' online behavior.

Attacker views unsecured DNS traffic

Think of a normal, unencrypted DNS query as being like a postcard sent through the mail: anyone handling the mail may happen to catch a glimpse of the text written on the back side, so it is not wise to mail a postcard that contains sensitive or private information.

DNS over TLS and DNS over HTTPS are two standards developed for encrypting plaintext DNS traffic in order to prevent malicious parties, advertisers, ISPs, and others from being able to interpret the data. Continuing the analogy, these standards aim to put an envelope around all postcards going through the mail, so that anyone can send a postcard without worrying that someone is snooping on what they are up to.

DNS queries secured over TLS or HTTPS, attacker blocked

Qu'est-ce que le DNS sur TLS ?

DNS over TLS, or DoT, is a standard for encrypting DNS queries to keep them secure and private. DoT uses the same security protocol, TLS, that HTTPS websites use to encrypt and authenticate communications. (TLS is also known as "SSL.") DoT adds TLS encryption on top of the user datagram protocol (UDP), which is used for DNS queries. Additionally, it ensures that DNS requests and responses are not tampered with or forged via on-path attacks.

Qu'est-ce que le DNS sur HTTPS ?

DNS over HTTPS, or DoH, is an alternative to DoT. With DoH, DNS queries and responses are encrypted, but they are sent via the HTTP or HTTP/2 protocols instead of directly over UDP. Like DoT, DoH ensures that attackers can't forge or alter DNS traffic. DoH traffic looks like other HTTPS traffic – e.g. normal user-driven interactions with websites and web apps – from a network administrator's perspective.

In February 2020, the Mozilla Firefox browser began enabling DoH for U.S. users by default. DNS queries from the Firefox browser are encrypted by DoH and go to either Cloudflare or NextDNS. Several other browsers also support DoH, although it is not turned on by default.

Attendez, le HTTPS n'utilise-t-il pas aussi le TLS pour le chiffrement ? En quoi le DNS sur TLS et le DNS sur HTTPS sont-ils différents ?

Each standard was developed separately and has its own RFC* documentation, but the most important difference between DoT and DoH is what port they use. DoT only uses port 853, while DoH uses port 443, which is the port that all other HTTPS traffic uses as well.

Because DoT has a dedicated port, anyone with network visibility can see DoT traffic coming and going, even though the requests and responses themselves are encrypted. In contrast, with DoH, DNS queries and responses are camouflaged within other HTTPS traffic, since it all comes and goes from the same port.

*RFC stands for "Request for Comments", and an RFC is a collective attempt by developers, networking experts, and thought leaders to standardize an Internet technology or protocol.

Qu'est-ce qu'un port ?

En technologie réseau, un port est un endroit virtuel sur une machine qui est ouvert aux connexions d'autres machines. Chaque ordinateur relié à un réseau possède un nombre standard de ports, et chaque port est réservé à certains types de communication.

Les ports d'une machine sont comme les quais pour les navires dans un port maritime : chaque quai est numéroté, et les différents types de navires sont censés se rendre à des quais différents pour décharger des marchandises ou débarquer des passagers. Tout se passe de la même façon dans un réseau : certains types de communications sont censés aller vers certains ports du réseau. À la différence des quais, les ports du réseau sont virtuels : ce sont des lieux de connexion numérique plutôt que physique.

Quel protocole est le meilleur, le DoT ou le DoH ?

This is up for debate. From a network security standpoint, DoT is arguably better. It gives network administrators the ability to monitor and block DNS queries, which is important for identifying and stopping malicious traffic. DoH queries, meanwhile, are hidden in regular HTTPS traffic, meaning they cannot easily be blocked without blocking all other HTTPS traffic as well.

Toutefois, du point de vue de la confidentialité, le DoH est sans doute préférable. Avec le DoH, les requêtes DNS sont cachées dans le flux le plus important du trafic HTTPS. Cela donne aux administrateurs de réseaux moins de visibilité, mais confère aux utilisateurs une plus grande confidentialité.

1.1.1.1, le résolveur DNS gratuit de Cloudflare, prend en charge à la fois le DoT et le DoH.

Quelle est la différence entre le DNS sur TLS/HTTPS et le DNSSEC ?

DNSSEC is a set of security extensions for verifying the identity of DNS root servers and authoritative nameservers in communications with DNS resolvers. It is designed to prevent DNS cache poisoning, among other attacks. It does not encrypt communications. DNS over TLS or HTTPS, on the other hand, does encrypt DNS queries. 1.1.1.1 supports DNSSEC as well.

En savoir davantage sur 1.1.1.1, voir Qu'est-ce que 1.1.1.1 ?