DNS sur TLS et DNS sur HTTPS | DNS sécurisé

Les requêtes DNS sont envoyées en texte brut, ce qui signifie que tout le monde peut les lire. Le DNS sur HTTPS et le DNS sur TLS chiffrent les requêtes et les réponses du DNS pour que la navigation des utilisateurs reste sécurisée et privée. Cependant, les deux approches ont leurs avantages et leurs inconvénients.

Objectifs d’apprentissage

Cet article s'articule autour des points suivants :

  • Comprendre pourquoi le DNS a besoin d'une plus grande sécurité et pourquoi la confidentialité du DNS est importante
  • Découvrez le fonctionnement du DNS sur TLS et du DNS sur HTTPS ainsi que les différences entre les deux
  • Expliquer les avantages et les inconvénients des deux approches
  • Comparer le DNS sur TLS ou sur HTTPS au DNSSEC

Copier le lien de l'article

Pourquoi le DNS a-t-il besoin de couches de sécurité supplémentaires ?

DNS is the phonebook of the Internet; DNS resolvers translate human-readable domain names into machine-readable IP addresses. By default, DNS queries and responses are sent in plaintext (via UDP), which means they can be read by networks, ISPs, or anybody able to monitor transmissions. Even if a website uses HTTPS, the DNS query required to navigate to that website is exposed.

This lack of privacy has a huge impact on security and, in some cases, human rights; if DNS queries are not private, then it becomes easier for governments to censor the Internet and for attackers to stalk users' online behavior.

Attacker views unsecured DNS traffic

Think of a normal, unencrypted DNS query as being like a postcard sent through the mail: anyone handling the mail may happen to catch a glimpse of the text written on the back side, so it is not wise to mail a postcard that contains sensitive or private information.

DNS over TLS and DNS over HTTPS are two standards developed for encrypting plaintext DNS traffic in order to prevent malicious parties, advertisers, ISPs, and others from being able to interpret the data. Continuing the analogy, these standards aim to put an envelope around all postcards going through the mail, so that anyone can send a postcard without worrying that someone is snooping on what they are up to.

DNS queries secured over TLS or HTTPS, attacker blocked

Qu'est-ce que le DNS sur TLS ?

DNS over TLS, or DoT, is a standard for encrypting DNS queries to keep them secure and private. DoT uses the same security protocol, TLS, that HTTPS websites use to encrypt and authenticate communications. (TLS is also known as "SSL.") DoT adds TLS encryption on top of the user datagram protocol (UDP), which is used for DNS queries. Additionally, it ensures that DNS requests and responses are not tampered with or forged via on-path attacks.

Qu'est-ce que le DNS sur HTTPS ?

Le DNS sur HTTPS, ou DoH, est une alternative au DoT. Avec le DoH, les requêtes et les réponses DNS sont chiffrées, mais elles sont envoyées via les protocoles HTTP ou HTTP/2 au lieu de passer directement en UDP. Comme le DoT, le DoH veille à ce que les attaquants ne puissent pas falsifier ou modifier le trafic DNS. Le trafic DoH ressemble à un autre trafic HTTPS, par exemple les interactions normales d'utilisateurs avec les sites web et les applications web (du point de vue d'un administrateur réseau).

In February 2020, the Mozilla Firefox browser began enabling DoH for U.S. users by default. DNS queries from the Firefox browser are encrypted by DoH and go to either Cloudflare or NextDNS. Several other browsers also support DoH, although it is not turned on by default.

Attendez, le HTTPS n'utilise-t-il pas aussi le TLS pour le chiffrement ? En quoi le DNS sur TLS et le DNS sur HTTPS sont-ils différents ?

Chaque norme a été développée séparément et possède sa propre documentation RFC*, mais la différence la plus importante entre le DoT et le DoH est le port qu'ils utilisent. Le DoT n'utilise que le port 853, tandis que le DoH utilise le port 443, qui est le port également utilisée par le trafic HTTPS.

Because DoT has a dedicated port, anyone with network visibility can see DoT traffic coming and going, even though the requests and responses themselves are encrypted. In contrast, with DoH, DNS queries and responses are camouflaged within other HTTPS traffic, since it all comes and goes from the same port.

*RFC signifie « Request for Comments » littéralement « demandes de commentaires ». Un RFC est une initiative collective de développeurs, d'experts en réseaux et de leaders éclairés visant à normaliser une technologie ou un protocole Internet.

Qu'est-ce qu'un port ?

En technologie réseau, un port est un endroit virtuel sur une machine qui est ouvert aux connexions d'autres machines. Chaque ordinateur relié à un réseau possède un nombre standard de ports, et chaque port est réservé à certains types de communication.

Les ports d'une machine sont comme les quais pour les navires dans un port maritime : chaque quai est numéroté, et les différents types de navires sont censés se rendre à des quais différents pour décharger des marchandises ou débarquer des passagers. Tout se passe de la même façon dans un réseau : certains types de communications sont censés aller vers certains ports du réseau. À la différence des quais, les ports du réseau sont virtuels : ce sont des lieux de connexion numérique plutôt que physique.

Quel protocole est le meilleur, le DoT ou le DoH ?

This is up for debate. From a network security standpoint, DoT is arguably better. It gives network administrators the ability to monitor and block DNS queries, which is important for identifying and stopping malicious traffic. DoH queries, meanwhile, are hidden in regular HTTPS traffic, meaning they cannot easily be blocked without blocking all other HTTPS traffic as well.

Toutefois, du point de vue de la confidentialité, le DoH est sans doute préférable. Avec le DoH, les requêtes DNS sont cachées dans le flux le plus important du trafic HTTPS. Cela donne aux administrateurs de réseaux moins de visibilité, mais confère aux utilisateurs une plus grande confidentialité.

1.1.1.1, le résolveur DNS gratuit de Cloudflare, prend en charge à la fois le DoT et le DoH.

Quelle est la différence entre le DNS sur TLS/HTTPS et le DNSSEC ?

DNSSEC is a set of security extensions for verifying the identity of DNS root servers and authoritative nameservers in communications with DNS resolvers. It is designed to prevent DNS cache poisoning, among other attacks. It does not encrypt communications. DNS over TLS or HTTPS, on the other hand, does encrypt DNS queries. 1.1.1.1 supports DNSSEC as well.

En savoir davantage sur 1.1.1.1, voir Qu'est-ce que 1.1.1.1 ?