DNS via HTTPS – questions fréquentes

Vous débutez avec le DNS via HTTPS (DoH) ? Ne vous inquiétez pas ! Nous avons dressé ici une liste de questions fréquentes que vous pourriez trouver utiles tout en vous familiarisant avec tout ce que le DoH a à vous offrir. Pour des informations supplémentaires, consultez l’article Le DNS via HTTPS de Firefox.

Table des matières

Comment fonctionne DNS via HTTPS pour une utilisation de Firefox aux États-Unis

Quelle est la politique de confidentialité de DNS via HTTPS ?

La mise en œuvre du DoH fait partie de notre travail visant à défendre les utilisateurs et utilisatrices contre l’omniprésence du pistage en ligne de leurs données personnelles. Pour ce faire, Mozilla exige de tous les fournisseurs de DNS susceptibles d’être sélectionnés dans Firefox de respecter notre politique relative aux résolveurs (en anglais) en signant un contrat légalement contraignant. Ces exigences imposent des limites strictes quant au type de données qui peuvent être conservées, à ce que le fournisseur peut faire de ces données et à la durée pendant laquelle il peut les conserver. Ce contrat exigeant a pour but de protéger les utilisateurs et utilisatrices contre le risque que les fournisseurs collectent et monétisent leurs données.

Un avertissement sera-t-il émis et un moyen de désengagement proposé quand le DoH sera activé ?

Oui, une fenêtre pop-up s’affichera et ne disparaîtra pas avant que l’utilisateur ou l’utilisatrice prendra une décision sur l’activation ou la désactivation des protections de la vie privée pour le DNS.

DoH Opt Out

Le DoH sera-t-il désactivable par les utilisateurs et utilisatrices ?

Oui, le DoH peut être désactivé dans les OptionsPréférences > Général > Paramètres reseau. Les utilisateurs et utilisatrices peuvent désactiver le DoH et/ou choisir leur propre fournisseur de DoH comme expliqué ici.

Peut-on se désister à l’avance ?

Oui, vous pouvez régler manuellement network.trr.mode sur 5 dans la page about:config. Des informations supplémentaires sur les modes se trouvent dans cette page de wiki en anglais.

Comment le DoH affectera-t-il les entreprises disposant de solutions personnalisées pour le DNS ?

Nous avons rendu la désactivation de la fonctionnalité facile pour les entreprises. Firefox détecte si des stratégies d’entreprise ont été configurées sur l’appareil et désactive le DoH dans ces circonstances. Si vous êtes en charge de l’administration système et qu’apprendre comment configurer les stratégies d’entreprise vous intéresse, parcourez la documentation ici.

Comment le DoH affectera-t-il les contrôles parentaux ?

Nous sommes au courant que certains fournisseurs d’accès à Internet (FAI) utilisent le DNS pour proposer un service de contrôle parental qui bloque les contenus adultes. Le point de vue de Mozilla est que le DNS n’est pas la meilleure approche du contrôle parental, mais nous ne voulons pas non plus interrompre les services existants. Nous vérifions donc une série de domaines canari avant d’activer le DoH. Si ces domaines indiquent qu’un contrôle parental est actif, nous désactivons alors le DoH. Pour des informations supplémentaires, consultez cet article de blog en anglais.

Les réseaux ne peuvent-ils pas simplement déclencher la vérification du domaine canari tout le temps et désactiver le DoH ?

Oui, les domaines canari sont une solution qui offre la meilleure sécurité pour combattre les attaquants du réseau et prévenir l’interruption des déploiements existants. Nous contrôlerons leur utilisation, enquêterons sur tous les cas d’abus et examinerons les mesures à prendre pour circonscrire ces incidents.

Est-ce que le DoH interrompra les réseaux de diffusion de contenu (CDN) ?

Nous sommes au courant que certains CDN utilisent un routage du trafic basé sur DNS qui peut être affecté par le DoH. Cependant, nos mesures montrent que les temps de chargement des pages via DoH sont compétitifs par rapport aux temps de chargement des pages via DNS ordinaire. Pendant et après la période de déploiement, nous évaluerons les performances de Firefox pour voir s’il y a des dysfonctionnements.

Comment Firefox gère-t-il les DNS split-horizon ?

Si Firefox ne parvient pas à résoudre un domaine via DoH, il se repliera sur le DNS. Cela signifie que tous les domaines qui ne sont disponibles que sur le DNS ordinaire (parce qu’ils ne sont pas publics) seront résolus de cette manière. Si vous avez un domaine qui peut être résolu publiquement mais qui est résolu différemment en interne, vous devriez alors utiliser les configurations pour entreprise afin de désactiver le DoH.

Validez-vous DNSSEC ?

DNSSEC (Domain Name System Security Extensions) s’assure que les réponses DNS n’ont pas été trafiquées lors du transit, mais ne chiffre pas les requêtes et réponses DNS. Nous avons donné la priorité au chiffrement du DNS en utilisant le DoH pour protéger la vie privée des utilisateurs et utilisatrices. Nous envisageons la mise en œuvre de DNSSEC à l’avenir.

Cloudflare effectue une validation DNSSEC sur les requêtes que Firefox envoie à son résolveur DoH. Cependant, cela ne garantit pas l’intégrité de bout en bout des données DNS. Nous sommes en train de déployer le DoH en mode de repli (fallback). Cela signifie que toute erreur renvoyée par le résolveur de Cloudflare, comme un échec de validation DNSSEC, amènera Firefox à réessayer la requête en utilisant le résolveur du système d’exploitation au lieu de renvoyer une erreur à l’utilisateur ou l’utilisatrice.

Les partenariats pour le DNS via HTTPS

Quel résolveur Firefox utilisera-t-il ?

Le lancement initial, qui n’a lieu qu’aux États-Unis, prévoit que Cloudflare est notre résolveur par défaut. Nous discutons activement avec d’autres fournisseurs sur leur adhésion à notre programme Trusted Recursive Resolver (résolveur récursif de confiance, TRR) qui exige le respect de nos critères en matière de sécurité et de protection de la vie privée. Nous prévoyons d’ajouter d’autres fournisseurs à notre programme TRR. De plus, notre perspective est que le DoH soit universellement adopté et pris en charge par tous les résolveurs DNS.

Comment Mozilla a-t-il choisi Cloudflare comme résolveur de confiance ?

Cloudflare a été en mesure de répondre aux exigences strictes de la politique que nous avons instaurées à l’heure actuelle. Ces exigences sont consignées dans le contrat juridiquement contraignant qui nous lie à Cloudflare et ont été rendues publiques dans une déclaration de confidentialité (en anglais) de premier ordre qui documente ces politiques et assure la transparence aux utilisateurs et utilisatrices.

Mozilla est-il rémunéré pour diriger les requêtes DNS vers Cloudflare ?

Aucune somme d’argent n’est échangée pour rediriger les requêtes DNS vers Cloudflare.

Mozilla ou Cloudflare monétisent-il ces données ?

Non, notre politique interdit explicitement la monétisation de ces données. Notre objectif avec cette fonctionnalité est de fournir une protection importante de la vie privée à nos utilisateurs et utilisatrices, et de compliquer la monétisation des données DNS utilisateur pour les résolveurs DNS.

En savoir plus sur la mise en place du DNS via HTTPS

Quel est votre planning de déploiement ?

Nous débutons un déploiement progressif en octobre 2019 aux États-Unis uniquement. Cela signifie que nous commençons avec un public restreint et que nous allons progressivement déployer auprès de tous les utilisateurs et utilisatrices tout en vérifiant les problèmes au fur et à mesure de notre progression. Référez-vous au bogue 1573840 (en anglais) pour des informations supplémentaires sur le déploiement.

Êtes-vous en train de le déployer par défaut en Europe ?

Dans le cadre de notre stratégie permanente visant à mesurer soigneusement les avantages et l’impact du DoH, nous nous concentrons actuellement sur le lancement de cette fonctionnalité uniquement aux États-Unis.

Pourquoi Firefox met-il en œuvre le DoH et non le DoT ?

L’IETF a normalisé deux protocoles de DNS via des transports sécurisés : DNS-over-TLS (DoT) et DNS-over-HTTPS (DoH). Ces deux protocoles ont des propriétés de sécurité et de confidentialité largement similaires. Nous avons choisi le DoH parce que nous pensons qu’il est mieux adapté à la pile réseau de notre navigateur déjà bien développé (pile centrée sur le HTTP) et qu’il offre une meilleure prise en charge des fonctionnalités des protocoles du futur, telles que le multiplexage HTTP/DNS et QUIC.

Le DoT est-il plus facile à détecter et à bloquer pour les opérateurs de réseau ?

Oui, nous ne pensons pas que ce soit un avantage. Firefox fournit des mécanismes permettant aux opérateurs de réseau de signaler qu’ils ont des raisons légitimes de désactiver le DoH. Nous ne pensons pas que bloquer la connexion au résolveur soit une réponse appropriée.

Le Server Name Indication (SNI) ne laisse-t-il pas de toute façon fuiter les noms de domaine ?

Oui, bien que tous les noms de domaine ne fuient pas via le Server Name Indication (indication du nom du serveur, SNI), nous sommes préoccupés par les fuites du SNI et avons commencé à travailler sur un SNI chiffré.

// Ces formidables personnes ont aidé à écrire cet article :Mozinet, YD. Vous pouvez également aider — découvrez comment.

Cet article vous a-t-il été utile ? Veuillez patienter…

Devenir bénévole pour l’assistance de Mozilla