(English)

DNS-over-HTTPS — comment se passe l'adaptation

March 23, 2022
Télécom
DNS-over-HTTPS — comment se passe l'adaptation
Depuis sa création, ce protocole a suscité la controverse dans la communauté informatique. Certains croient que le DoH augmente la sécurité des connexions, d'autres pensent qu'il ne fait que compliquer le travail des administrateurs système. Mais malgré la polarité des points de vue, de plus en plus d'applications utilisent DoH. Nous vous disons ce qui se passe.

Technologie controversée 

DNS-over-HTTPS est critiqué par les régulateurs, les télécoms, les représentants des registraires Internet, et même l’auteur du système de noms de domaine lui-même. Parmi les arguments figurent la complexité de l’administration et les retards dans les réseaux de diffusion de contenu. Dans le même temps, les implémentations individuelles du protocole ignorent les règles décrites dans /etc/nsswitch.conf. Ainsi, la gestion du DNS passe du niveau du système d’exploitation au niveau de l’application, ce qui peut créer une confusion entre les services.

Il y a aussi une opinion que le protocole crée un risque de fuite de données personnelles. DNS-over-HTTPS crypte les informations sur les ressources visitées, mais elles sont toujours disponibles pour le serveur qui traite la demande. Dans ce contexte, il y a un problème de confiance dans le Fournisseur DoH. C’est l’une des raisons pour lesquelles la National Security Agency des États-Unis recommande de ne pas utiliser DNS-over-HTTPS sur les réseaux d’entreprise et de prêter attention aux solutions self-hosted.

Petits progrès

Les déclarations acerbes à l’égard de la technologie ont probablement ralenti sa diffusion. Aujourd’hui, le trafic DNS « classique » est trois fois supérieur au volume crypté. Cependant, la situation évolue progressivement. Selon les principaux fournisseurs de services Internet et les sociétés de sécurité de l’information, le trafic DoH a augmenté ces dernières années. Cela est perceptible au Brésil, aux États-Unis, en Italie, en Argentine et en Espagne (voir page 10 de l’étude sur ce sujet).

La tendance à la hausse est liée à l’activation de DNS-over-HTTPS par défaut dans les principaux navigateurs. Ainsi, en 2019, les développeurs de Firefox ont inclus un nouveau protocole pour les utilisateurs américains, et cette année — pour les utilisateurs du Canada. Dans le second cas, le projet a été mis en œuvre en partenariat avec le fournisseur du DoH CIRA.

Selon les représentants de Firefox, la société ne stocke pas les journaux plus d’une journée, ne transmet pas les données des utilisateurs à des tiers et utilise obligatoirement la technologie DNS Query Name Minimisation (RFC 7816).

La possibilité de travailler avec DNS-over-HTTPS a également été ajoutée à Chrome, Edge et Brave. La fonctionnalité correspondante est également implémentée dans le micrologiciel des routeurs à la fois commerciaux et ouverts comme OpenWRT.

browsers with DoH

Les passionnés contribuent également au développement de la technologie. En septembre, les ingénieurs de l’APNIC ont analysé l’espace d’adresses IPv4 à la recherche de ports 443 ouverts, les ont testés avec un script spécial et ont trouvé plus de 930 résolveurs DoH, dont un quart sont déployés sur des serveurs domestiques et probablement utilisés dans des projets privés (ces systèmes n’ont pas d’enregistrements de visualisation des zones inversées).

Autres options

DoH sera implémenté par de plus en plus de développeurs. Mais ce n’est pas un fait qu’il deviendra la solution « finale » pour chiffrer les requêtes DNS. En plus du DNS-over-TLS, que nous avons évoqué dans l’un des articles précédents, d’autres alternatives sont en cours de développement. Par exemple, un groupe de travail de l’IETF a proposé la norme open source Oblivious DNS-over-HTTPS (ODoH). Il permet de masquer les adresses IP des appareils utilisateur à l’aide d’un proxy. Dans ce cas, le fournisseur DNS ne voit que l’adresse du lien intermédiaire.

L’adresse IP du client est connue du serveur proxy, mais il ne peut pas recevoir d’informations sur la requête (car le message est crypté).

Des solutions de chiffrement d’accès au système de noms de domaine basées sur d’autres protocoles apparaissent, comme par exemple le QUIC. Mais il est trop tôt pour parler de leur large diffusion. En particulier, les volumes de trafic DNS-over-QUIC sont incroyablement faibles, même par rapport à DNS-over-HTTPS. La mise en œuvre pratique de tels systèmes est également discutable, car à l’avenir, le DNS-over-HTTPS recevra le support QUIC [en raison du protocole HTTP/3].

Il est trop tôt pour dire quelle technologie de cryptage DNS sera mise en œuvre. Mais dans tous les cas, cela peut prendre quelques décennies.

Nous utilisons des cookies pour optimiser les fonctionnalités du site et vous offrir la meilleure expérience possible. Pour en savoir plus sur les cookies que nous utilisons, veuillez consulter notre Politique de cookies. En cliquant sur « Okay », vous acceptez notre utilisation des cookies. Learn more.