Technologie controversée
DNS-over-HTTPS est critiqué par les régulateurs, les télécoms, les représentants des registraires Internet, et même l’auteur du système de noms de domaine lui-même. Parmi les arguments figurent la complexité de l’administration et les retards dans les réseaux de diffusion de contenu. Dans le même temps, les implémentations individuelles du protocole ignorent les règles décrites dans /etc/nsswitch.conf. Ainsi, la gestion du DNS passe du niveau du système d’exploitation au niveau de l’application, ce qui peut créer une confusion entre les services.
Il y a aussi une opinion que le protocole crée un risque de fuite de données personnelles. DNS-over-HTTPS crypte les informations sur les ressources visitées, mais elles sont toujours disponibles pour le serveur qui traite la demande. Dans ce contexte, il y a un problème de confiance dans le Fournisseur DoH. C’est l’une des raisons pour lesquelles la National Security Agency des États-Unis recommande de ne pas utiliser DNS-over-HTTPS sur les réseaux d’entreprise et de prêter attention aux solutions self-hosted.
Petits progrès
Les déclarations acerbes à l’égard de la technologie ont probablement ralenti sa diffusion. Aujourd’hui, le trafic DNS « classique » est trois fois supérieur au volume crypté. Cependant, la situation évolue progressivement. Selon les principaux fournisseurs de services Internet et les sociétés de sécurité de l’information, le trafic DoH a augmenté ces dernières années. Cela est perceptible au Brésil, aux États-Unis, en Italie, en Argentine et en Espagne (voir page 10 de l’étude sur ce sujet).
Selon les représentants de Firefox, la société ne stocke pas les journaux plus d’une journée, ne transmet pas les données des utilisateurs à des tiers et utilise obligatoirement la technologie DNS Query Name Minimisation (RFC 7816).
La possibilité de travailler avec DNS-over-HTTPS a également été ajoutée à Chrome, Edge et Brave. La fonctionnalité correspondante est également implémentée dans le micrologiciel des routeurs à la fois commerciaux et ouverts comme OpenWRT.
Les passionnés contribuent également au développement de la technologie. En septembre, les ingénieurs de l’APNIC ont analysé l’espace d’adresses IPv4 à la recherche de ports 443 ouverts, les ont testés avec un script spécial et ont trouvé plus de 930 résolveurs DoH, dont un quart sont déployés sur des serveurs domestiques et probablement utilisés dans des projets privés (ces systèmes n’ont pas d’enregistrements de visualisation des zones inversées).
Autres options
DoH sera implémenté par de plus en plus de développeurs. Mais ce n’est pas un fait qu’il deviendra la solution « finale » pour chiffrer les requêtes DNS. En plus du DNS-over-TLS, que nous avons évoqué dans l’un des articles précédents, d’autres alternatives sont en cours de développement. Par exemple, un groupe de travail de l’IETF a proposé la norme open source Oblivious DNS-over-HTTPS (ODoH). Il permet de masquer les adresses IP des appareils utilisateur à l’aide d’un proxy. Dans ce cas, le fournisseur DNS ne voit que l’adresse du lien intermédiaire.
Des solutions de chiffrement d’accès au système de noms de domaine basées sur d’autres protocoles apparaissent, comme par exemple le QUIC. Mais il est trop tôt pour parler de leur large diffusion. En particulier, les volumes de trafic DNS-over-QUIC sont incroyablement faibles, même par rapport à DNS-over-HTTPS. La mise en œuvre pratique de tels systèmes est également discutable, car à l’avenir, le DNS-over-HTTPS recevra le support QUIC [en raison du protocole HTTP/3].
Il est trop tôt pour dire quelle technologie de cryptage DNS sera mise en œuvre. Mais dans tous les cas, cela peut prendre quelques décennies.