Vous débutez avec le DNS via HTTPS (DoH) ? Ne vous inquiétez pas ! Nous avons dressé ici une liste de questions fréquentes que vous pourriez trouver utiles tout en vous familiarisant avec tout ce que le DoH a à vous offrir. Pour des informations supplémentaires, consultez l’article Le DNS via HTTPS de Firefox.

Comment fonctionne DNS via HTTPS pour une utilisation de Firefox dans les pays où nous avons déployé le DoH par défaut

Quelle est la politique de confidentialité de DNS via HTTPS ?

La mise en œuvre du DoH fait partie de notre travail visant à défendre les utilisateurs et utilisatrices contre l’omniprésence du pistage en ligne de leurs données personnelles. Pour ce faire, Mozilla exige de tous les fournisseurs de DNS susceptibles d’être sélectionnés dans Firefox de respecter notre politique relative aux résolveurs (en anglais) en signant un contrat légalement contraignant. Ces exigences imposent des limites strictes quant au type de données qui peuvent être conservées, à ce que le fournisseur peut faire de ces données et à la durée pendant laquelle il peut les conserver. Ce contrat exigeant a pour but de protéger les utilisateurs et utilisatrices contre le risque que les fournisseurs collectent et monétisent leurs données.

Un avertissement sera-t-il émis et un moyen de désengagement proposé quand le DoH sera activé ?

Oui, une notification s’affichera dans Firefox et ne disparaîtra pas avant que l’utilisateur ou l’utilisatrice prenne une décision sur l’activation ou la désactivation des protections de la vie privée pour le DNS.

Le DoH est-il désactivable par les utilisateurs et utilisatrices ?

Oui, le DoH peut être désactivé. Les utilisateurs et utilisatrices peuvent choisir leur propre fournisseur de DoH et procéder à d’autres changements de configuration dans le panneau Vie privée et sécurité des paramètres de Firefox, comme expliqué dans l’article Configurer les niveaux de la protection par DNS via HTTPS dans Firefox. Oui, le DoH peut être désactivé dans les paramètres réseau de Firefox. Les utilisateurs et utilisatrices peuvent désactiver le DoH ou choisir leur propre fournisseur de DoH comme expliqué ici.

Peut-on se désister à l’avance ?

Oui, vous pouvez régler manuellement network.trr.mode sur 5 dans l’éditeur de configuration. Des informations supplémentaires sur les modes se trouvent dans cette page de wiki en anglais.

Comment le DoH affectera-t-il les entreprises disposant de solutions personnalisées pour le DNS ?

Nous avons rendu la désactivation de la fonctionnalité facile pour les entreprises. De plus, Firefox détecte si des stratégies d’entreprise ont été configurées sur l’appareil et désactive le DoH dans ces circonstances. Si vous être responsable de l’administration système et qu’apprendre comment configurer les stratégies d’entreprise vous intéresse, parcourez la documentation.

Comment le DoH affectera-t-il les contrôles parentaux ?

Nous savons que certains fournisseurs d’accès à Internet (FAI) utilisent le DNS pour proposer un service de contrôle parental qui bloque les contenus adultes. Le point de vue de Mozilla est que le DNS n’est pas la meilleure approche du contrôle parental, mais nous ne voulons pas non plus interrompre les services existants. Nous vérifions donc une série de domaines canari avant d’activer le DoH. Si ces domaines indiquent qu’un contrôle parental est actif, nous désactivons alors le DoH. Pour des informations supplémentaires, consultez cet article du blog de Mozilla en anglais.

Les réseaux ne peuvent-ils pas simplement déclencher la vérification du domaine canari tout le temps et désactiver le DoH ?

Oui, les domaines canari sont une solution qui offre la meilleure sécurité pour combattre les attaquants du réseau et prévenir l’interruption des déploiements existants. Nous contrôlerons leur utilisation, enquêterons sur tous les cas d’abus et examinerons les mesures à prendre pour circonscrire ces incidents.

Est-ce que le DoH interrompra les réseaux de diffusion de contenu (CDN) ?

Nous sommes au courant que certains CDN utilisent un routage du trafic basé sur DNS qui peut être affecté par le DoH. Cependant, nos mesures (billet de blog en anglais) montrent que les temps de chargement des pages via DoH sont compétitifs par rapport aux temps de chargement des pages via DNS ordinaire. Pendant et après la période de déploiement, nous évaluerons les performances de Firefox pour voir s’il y a des dysfonctionnements.

Comment Firefox gère-t-il les DNS split-horizon ?

Si Firefox ne parvient pas à résoudre un domaine via DoH, il se repliera sur le DNS. Cela signifie que tous les domaines qui ne sont disponibles que sur le DNS ordinaire (parce qu’ils ne sont pas publics) seront résolus de cette manière. Si vous avez un domaine qui peut être résolu publiquement mais qui est résolu différemment en interne, vous devriez alors utiliser les configurations pour entreprise afin de désactiver le DoH.

Validez-vous DNSSEC ?

DNSSEC (Domain Name System Security Extensions) s’assure que les réponses DNS n’ont pas été trafiquées lors du transit, mais ne chiffre pas les requêtes et réponses DNS. Nous avons donné la priorité au chiffrement du DNS en utilisant le DoH pour protéger la vie privée des utilisateurs et utilisatrices. Nous envisageons la mise en œuvre de DNSSEC à l’avenir.

Les partenariats pour le DNS via HTTPS

Quel résolveur Firefox utilisera-t-il ?

Dans chaque pays où nous lançons le DoH, nous en proposons un (par exemple aux États-Unis, le résolveur par défaut est Cloudflare). Les utilisateurs et utilisatrices peuvent autrement faire leur choix dans une liste de fournisseurs supplémentaires (wiki de Mozilla en anglais) au sein de notre programme Trusted Recursive Resolver (résolveur récursif de confiance, TRR) qui exige le respect de nos critères (idem) en matière de sécurité et de protection de la vie privée. Avec le temps, nous prévoyons d’ajouter d’autres fournisseurs à notre programme TRR. De plus, notre perspective est que le DoH soit universellement adopté et pris en charge par tous les résolveurs DNS.

Comment Mozilla choisit-il ses résolveurs de confiance ?

Nos résolveurs par défaut sont en mesure de répondre aux exigences strictes de la politique (wiki de Mozilla en anglais) que nous avons instaurée à l’heure actuelle. Ces exigences sont consignées dans des contrats juridiquement contraignants et sont rendues publiques dans des déclarations de confidentialité de premier ordre qui documentent ces politiques et assurent la transparence aux utilisateurs et utilisatrices.

Mozilla est-il rémunéré pour diriger les requêtes DNS vers ses résolveurs par défaut ?

Aucune somme d’argent n’est échangée pour rediriger les requêtes DNS vers nos partenaires résolveurs par défaut.

Mozilla ou ses résolveurs par défaut monétisent-ils ces données ?

Non, notre politique interdit explicitement la monétisation de ces données. L’objectif de cette fonctionnalité est de fournir une protection importante de la vie privée à nos utilisateurs et utilisatrices et de compliquer la monétisation des données DNS utilisateur pour les résolveurs DNS.

En savoir plus sur la mise en place du DNS via HTTPS

Quel est votre planning de déploiement ?

Nous avons déployé le DoH par défaut aux États-Unis en 2019, au Canada en 2021, et en Russie et Ukraine en mars 2022. Nous sommes en train de planifier le déploiement par défaut dans d’autres pays.

Êtes-vous en train de le déployer par défaut en Europe ?

Dans le cadre de notre stratégie permanente visant à mesurer soigneusement les avantages et l’impact du DoH, nous avons jusqu’à présent lancé cette fonctionnalité par défaut uniquement en Russie et Ukraine, ainsi qu’aux États-Unis et au Canada.

Pourquoi Firefox met-il en œuvre le DoH et non le DoT ?

L’IETF a normalisé deux protocoles de DNS via des transports sécurisés (en anglais) : DNS-over-TLS (DoT) et DNS-over-HTTPS (DoH). Ces deux protocoles ont des propriétés de sécurité et de confidentialité largement similaires. Nous avons choisi le DoH parce que nous pensons qu’il est mieux adapté à la pile réseau de notre navigateur déjà bien développé (pile centrée sur le HTTP) et qu’il offre une meilleure prise en charge des fonctionnalités des protocoles du futur, telles que le multiplexage HTTP/DNS et QUIC.

Le DoT est-il plus facile à détecter et à bloquer pour les opérateurs de réseau ?

Oui, nous ne pensons pas que ce soit un avantage. Firefox fournit des mécanismes permettant aux opérateurs de réseau de signaler qu’ils ont des raisons légitimes de désactiver le DoH. Nous ne pensons pas que bloquer la connexion au résolveur soit une réponse appropriée.

Le Server Name Indication (SNI) ne laisse-t-il pas de toute façon fuiter les noms de domaine ?

Oui, bien que tous les noms de domaine ne fuient pas via le Server Name Indication (indication du nom du serveur, SNI), nous sommes préoccupés par les fuites du SNI et avons commencé à travailler sur un SNI chiffré (document en anglais).

Que sont les vérifications heuristiques du DoH ?

Il s’agit d’un ensemble de vérifications que Firefox effectue avant d’activer le DoH par défaut pour les personnes situées dans les zones où le DoH est déployé dans le but de voir si cette activation n’aura pas d’impact négatif (ces vérifications sont ignorées si vous activez explicitement le DoH). Par exemple, le DoH reste désactivé si les stratégies d’entreprise ou le contrôle parental sont activés. Pour en savoir plus, consultez la page Security/DNS Over HTTPS/Heuristics du wiki de Mozilla en anglais et l’article d’assistance Configurer les réseaux pour désactiver DNS via HTTPS.