Configurer les réseaux pour désactiver DNS via HTTPS

Chez Mozilla, nous croyons que [[Firefox DNS-over-HTTPS|DNS via HTTPS (DoH)]] est une fonctionnalité que tout un chacun devrait utiliser pour accroître la protection de sa vie privée. En chiffrant les requêtes DNS, DoH masque vos données de navigation à ceux qui se trouvent sur le chemin réseau qui va de vous à votre serveur de noms (DNS). Par exemple, utiliser les requêtes DNS standards sur un réseau public peut potentiellement révéler tous les sites web que vous visitez aux autres utilisateurs et utilisatrices de ce réseau comme à ses opérateurs. Bien que nous aimerions encourager chacun à utiliser DoH, nous admettons qu’il y a quelques circonstances dans lesquelles DoH peut se révéler indésirable, à savoir : *les réseaux qui ont installé un filtrage via le serveur DNS par défaut. C’est typiquement le cas pour installer le contrôle parental et pour bloquer l’accès à des sites web malicieux ; *les réseaux qui répondent à des noms privés et/ou qui fournissent des réponses différentes de celles données publiquement. Par exemple, une entreprise peut n’exposer l’adresse d’une application utilisée par son personnel que sur son réseau interne. Les réseaux peuvent signaler à Firefox que des fonctionnalités particulières comme celles exposées ci-dessus sont employées et qu’elles seraient désactivées si DoH était utilisé pour la résolution des noms de domaine. La vérification de ces signalements sera mise en œuvre dans Firefox dès que DoH sera activé par défaut pour tous les utilisateurs et utilisatrices. Les États-Unis en profiteront en premier à l’automne 2019. Si un utilisateur ou une utilisatrice a choisi d’activer manuellement DoH, le signal donné par le réseau est ignoré et les préférences utilisateur prévalent. Les administrateurs et administratrices peuvent configurer leurs réseaux comme suit pour signaler que la résolution DNS locale a mis en œuvre des fonctionnalités particulières qui rendent leur réseau inadapté à l’utilisation de DoH : Les requêtes DNS pour les enregistrements A et AAAA du domaine « use-application-dns.net » doivent répondre par NXDOMAIN plutôt que par l’adresse IP récupérée auprès du serveur faisant autorité. Le domaine « use-application-dns.net » est désigné comme un « domaine canari ». Quelques fournisseurs de filtrage DNS existants proposent déjà de semblables domaines pour permettre aux utilisateurs et utilisatrices de vérifier le bon fonctionnement du filtrage. Ce nouveau domaine est différent car il est supposé être mis en place sur de nombreuses solutions de filtrage, et aussi consulté par des logiciels comme Firefox, plutôt que directement par les utilisateurs et utilisatrices. Ce mécanisme a été créé par Mozilla comme une mesure provisoire en attendant qu’un standard internet plus définitif pour signaler la présence d’un filtrage de contenu basé sur DNS puisse être approuvé. En plus du signal du domaine canari décrit plus haut, Firefox exécute quelques vérifications de fonctionnalités réseau incompatibles avec DoH avant de l’activer pour un utilisateur ou une utilisatrice. Ces vérifications sont lancées au démarrage du navigateur et à chaque fois que le navigateur détecte qu’il a changé de réseau, ce qui se produit quand un ordinateur portable est utilisé à la maison, au travail et au café. Quand une quelconque de ces vérifications signale un problème potentiel, Firefox désactive DoH pour le reste de la session réseau, à moins que l’utilisateur ou l’utilisatrice ait activé la préférence « toujours utiliser DoH » comme mentionné plus haut. Les vérifications supplémentaires effectuées pour le filtrage de contenu consistent à : *effectuer la résolution de nom de domaines canari de quelques fournisseurs connus pour détecter un éventuel filtrage de contenu ; *effectuer la résolution de nom des variantes « SafeSearch » de google.com et youtube.com pour déterminer si le réseau redirige vers elles ; *sous Windows et macOS, détecter si le contrôle parental du système d’exploitation est activé. Les vérifications supplémentaires effectuées pour des réseaux privés d’entreprise consistent à tester si : *la préférence {pref security.enterprise_roots.enabled} de Firefox est positionnée sur {pref true} ; *une [/products/firefox-enterprise/policies-customization-enterprise/manage-settings-policy stratégie d’entreprise] est configurée.

Chez Mozilla, nous croyons que DNS via HTTPS (DoH) est une fonctionnalité que tout un chacun devrait utiliser pour accroître la protection de sa vie privée. En chiffrant les requêtes DNS, DoH masque vos données de navigation à ceux qui se trouvent sur le chemin réseau qui va de vous à votre serveur de noms (DNS). Par exemple, utiliser les requêtes DNS standards sur un réseau public peut potentiellement révéler tous les sites web que vous visitez aux autres utilisateurs et utilisatrices de ce réseau comme à ses opérateurs.

Bien que nous aimerions encourager chacun à utiliser DoH, nous admettons qu’il y a quelques circonstances dans lesquelles DoH peut se révéler indésirable, à savoir :

• les réseaux qui ont installé un filtrage via le serveur DNS par défaut. C’est typiquement le cas pour installer le contrôle parental et pour bloquer l’accès à des sites web malicieux ;
• les réseaux qui répondent à des noms privés et/ou qui fournissent des réponses différentes de celles données publiquement. Par exemple, une entreprise peut n’exposer l’adresse d’une application utilisée par son personnel que sur son réseau interne.

Les réseaux peuvent signaler à Firefox que des fonctionnalités particulières comme celles exposées ci-dessus sont employées et qu’elles seraient désactivées si DoH était utilisé pour la résolution des noms de domaine. La vérification de ces signalements sera mise en œuvre dans Firefox dès que DoH sera activé par défaut pour tous les utilisateurs et utilisatrices. Les États-Unis en profiteront en premier à l’automne 2019. Si un utilisateur ou une utilisatrice a choisi d’activer manuellement DoH, le signal donné par le réseau est ignoré et les préférences utilisateur prévalent.

Les administrateurs et administratrices peuvent configurer leurs réseaux comme suit pour signaler que la résolution DNS locale a mis en œuvre des fonctionnalités particulières qui rendent leur réseau inadapté à l’utilisation de DoH :

Les requêtes DNS pour les enregistrements A et AAAA du domaine « use-application-dns.net » doivent répondre par NXDOMAIN plutôt que par l’adresse IP récupérée auprès du serveur faisant autorité.

Le domaine « use-application-dns.net » est désigné comme un « domaine canari ». Quelques fournisseurs de filtrage DNS existants proposent déjà de semblables domaines pour permettre aux utilisateurs et utilisatrices de vérifier le bon fonctionnement du filtrage. Ce nouveau domaine est différent car il est supposé être mis en place sur de nombreuses solutions de filtrage, et aussi consulté par des logiciels comme Firefox, plutôt que directement par les utilisateurs et utilisatrices. Ce mécanisme a été créé par Mozilla comme une mesure provisoire en attendant qu’un standard internet plus définitif pour signaler la présence d’un filtrage de contenu basé sur DNS puisse être approuvé.

En plus du signal du domaine canari décrit plus haut, Firefox exécute quelques vérifications de fonctionnalités réseau incompatibles avec DoH avant de l’activer pour un utilisateur ou une utilisatrice. Ces vérifications sont lancées au démarrage du navigateur et à chaque fois que le navigateur détecte qu’il a changé de réseau, ce qui se produit quand un ordinateur portable est utilisé à la maison, au travail et au café. Quand une quelconque de ces vérifications signale un problème potentiel, Firefox désactive DoH pour le reste de la session réseau, à moins que l’utilisateur ou l’utilisatrice ait activé la préférence « toujours utiliser DoH » comme mentionné plus haut.

Les vérifications supplémentaires effectuées pour le filtrage de contenu consistent à :

• effectuer la résolution de nom de domaines canari de quelques fournisseurs connus pour détecter un éventuel filtrage de contenu ;
• effectuer la résolution de nom des variantes « SafeSearch » de google.com et youtube.com pour déterminer si le réseau redirige vers elles ;
• sous Windows et macOS, détecter si le contrôle parental du système d’exploitation est activé.

Les vérifications supplémentaires effectuées pour des réseaux privés d’entreprise consistent à tester si :

• la préférence security.enterprise_roots.enabled de Firefox est positionnée sur true ;
• une stratégie d’entreprise est configurée.