Chez Mozilla, nous croyons que DNS via HTTPS (DoH) est une fonctionnalité que tout un chacun devrait utiliser pour accroître la protection de sa vie privée. En chiffrant les requêtes DNS, DoH masque vos données de navigation à ceux qui se trouvent sur le chemin réseau qui va de vous à votre serveur de noms (DNS). Par exemple, utiliser les requêtes DNS standards sur un réseau public peut potentiellement révéler tous les sites web que vous visitez aux autres utilisateurs et utilisatrices de ce réseau comme à ses opérateurs. Bien que nous aimerions encourager chacun à utiliser DoH, nous admettons qu’il y a quelques circonstances dans lesquelles DoH peut se révéler indésirable, à savoir :
- les réseaux qui ont installé un filtrage via le serveur DNS par défaut. Cela peut être le cas pour installer le contrôle parental ou pour bloquer l’accès à des sites web malicieux ;
- les réseaux qui répondent à des noms privés ou qui fournissent des réponses différentes de celles données publiquement. Par exemple, une entreprise peut n’exposer l’adresse d’une application utilisée par son personnel que sur son réseau interne.
Les réseaux peuvent signaler à Firefox que des fonctionnalités particulières comme celles exposées ci-dessus sont employées et qu’elles seraient désactivées si DoH était utilisé pour la résolution des noms de domaine. La vérification de ces signalements sera mise en œuvre dans Firefox dès que DoH sera activé par défaut pour tous les utilisateurs et utilisatrices. Les États-Unis en ont profité en premier à l’automne 2019, le Canada dans l’été 2021, la Russie et l’Ukraine en mars 2022. Si un utilisateur ou une utilisatrice a choisi d’activer manuellement DoH, le signal donné par le réseau est ignoré et les préférences utilisateur prévalent.
Les administrateurs et administratrices peuvent configurer leurs réseaux pour traiter différemment les requêtes pour un domaine canari pour signaler que la résolution DNS locale met en œuvre des fonctionnalités particulières qui rendent leur réseau inadapté à l’utilisation de DoH.
En plus du signal du domaine canari, Firefox exécute quelques vérifications de fonctionnalités réseau incompatibles avec DoH avant de l’activer pour un utilisateur ou une utilisatrice. Ces vérifications sont lancées au démarrage du navigateur et à chaque fois que le navigateur détecte qu’il a changé de réseau, ce qui se produit quand un ordinateur portable est utilisé à la maison, au travail et au café. Quand une quelconque de ces vérifications signale un problème potentiel, Firefox désactive DoH pour le reste de la session réseau, à moins que l’utilisateur ou l’utilisatrice ait activé la préférence « toujours utiliser DoH » comme mentionné plus haut. Les vérifications supplémentaires effectuées pour le filtrage de contenu consistent à :
- effectuer la résolution de nom de domaines canari de quelques fournisseurs connus pour détecter un éventuel filtrage de contenu ;
- effectuer la résolution de nom des variantes « SafeSearch » de google.com et youtube.com pour déterminer si le réseau redirige vers elles ;
- sous Windows et macOS, détecter si le contrôle parental du système d’exploitation est activé.
Les vérifications supplémentaires effectuées pour des réseaux privés d’entreprise consistent à tester si :
- la préférence security.enterprise_roots.enabled de Firefox est positionnée sur true ;
- une stratégie d’entreprise est configurée.
