Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

DNS over HTTPS (DoH) arrive dans les paramètres réseau de Windows 10 : comment ça marche ?

Avec des adresses IP
Logiciel 4 min
DNS over HTTPS (DoH) arrive dans les paramètres réseau de Windows 10 : comment ça marche ?
Mise à jour :

L'article a été mis à jour avec les nouveautés introduites par la build 20185 de Windows 10.

Après les navigateurs, les OS ! Windows 10 sera-t-il le premier à supporter nativement DNS over HTTPS ? Cela semble bien être le cas puisque l'on peut désormais tester son intégration, passant désormais par les paramètres réseau.

DNS over HTTPS (DoH) est une nouvelle manière d'échanger avec un résolveur DNS. Très simple à mettre en œuvre et difficile à bloquer, il a l'avantage de passer par un flux chiffré. Des points forts qui expliquent sans doute son succès face à d'autres candidats visant le même objectif, comme DNS over TLS (DoT) par exemple.

Jusqu'à maintenant, son intégration était pratiquée au niveau des navigateurs. On peut en effet en profiter sous Firefox, mais aussi dans les versions de test de ceux dérivés de Chromium. Un choix qui pose problème puisque cela revient à accepter que chaque application dispose de ses propres paramètres pour les DNS, outrepassant les règles du système.

Notre dossier sur DNS over HTTPS :

Une situation qui peut être tolérée à court terme, mais qui ne doit pas durer. Si DNS over HTTPS est une évolution intéressante, son intégration doit plutôt se faire au niveau des routeurs, box de FAI et autres systèmes d'exploitation. Microsoft avait justement promis une évolution rapide de Windows 10 sur ce point. Elle évolue dans sa phase de test.

DoH va intégrer les paramètres réseau

Bonne nouvelle, contrairement à ce qui se pratique en général sous Linux, vous n'aurez pas d'outil spécial tel que Stubby à installer pour profiter de DNS over HTTPS sous Windows 10. Pour autant Microsoft n'est pas franchement le premier à s'intéresser aux DNS chiffrés intégrés à un OS, puisqu'Android supporte DoT depuis sa version 9 (Pie) sortie en 2018.

Depuis la précédente build 19628, qui avait ouvert la phase de test, l'activation était possible mais nécessitait une procédure complexe. Ce n'est plus le cas avec la build 20185 qui vient d'être publiée. Elle est disponible via le programme Insider ou à télécharger manuellement. Nous avons opté pour cette seconde solution.

Rendez-vous ensuite dans la section Réseau/Wi-Fi des Paramètres (Windows + i). Vous verrez vos différentes connexions, avec la possibilité d'ouvrir leurs propriétés. Dans celles-ci, une section est désormais consacrée aux DNS. Par défaut, ils seront réglés de manière automatique, via le protocole DHCP (c'est le routeur qui les fournit au système).

Optez pour manuel, en IPv4 et/ou IPv6. Si vous indiquez une adresse IP connue pour supporter DNS over HTTPS, l'option de chiffrement sera débloquée. Vous pourrez alors demander à l'utiliser obligatoirement, le désactiver ou indiquer qu'il doit être utilisé en priorité, mais qu'il est possible d'opter pour du trafic DNS non chiffré en cas de problème.

DNS over HTTPS DoH Windows 10DNS over HTTPS DoH Windows 10
Une fois activé, les DNS manuels apparaîtront dans les propriétés de la connexion, ainsi que le choix de chiffrement effectué

Trois sont reconnus pour le moment :

Cloudflare :

  • 1.1.1.1
  • 1.0.0.1
  • 2606:4700:4700::1111
  • 2606:4700:4700::1001

Google

  • 8.8.8.8
  • 8.8.4.4
  • 2001:4860:4860::8888
  • 2001:4860:4860::8844

Quad9

  • 9.9.9.9
  • 149.112.112.112
  • 2620:fe::fe
  • 2620:fe::fe:9

La façon de faire est maligne, mais on espère tout de même que l'on aura droit à une intégration plus ouverte dans la version définitive. Surtout que certains services DoH ne communiquent que leur URL et pas une adresse IP.

Ajoutez le serveur DoH de votre choix :

Il devrait être possible d'ajouter le résolveur de votre choix via cette commande PowerShell (Administrateur), mais selon nos essais, elle n'est pour le moment pas fonctionnelle.

netsh dns add encryption server=IP dohtemplate=URL

Vous pouvez vérifier l'URL du serveur DoH correspondant à l'IP de votre choix : 

netsh dns show encryption server=IP

Vérifier que DoH est bien actif

Malheureusement, il n'est pas simple de vérifier que DoH est actif. Microsoft donne sa propre astuce, en utilisant l'analyseur de paquets intégré à Windows 10, accessible via PowerShell (ADministrateur). Il permet de visualiser les flux passant en clair via le port 53 (utilisé habituellement par les DNS). Si plus rien n'est visible, c'est que DoH est bien actif :

pktmon filter remove
pktmon filter add -p 53
pktmon start --etw -m real-time

Selon nos premiers essais, cela fonctionne à quelques exceptions près. Par exemple si vous effectuez des requêtes via nslookup, cela continuera de passer par une requête DNS classique par exemple. 

56 commentaires
Avatar de ehamon Abonné
Avatar de ehamonehamon- 14/05/20 à 06:40:40

Merci pour cet article. Très bonne compilation concise et exhaustive en un seul article pour faire les tests.

Avatar de Lorith Abonné
Avatar de LorithLorith- 14/05/20 à 06:50:33

Mon genre d'article préféré :) Merci !

Avatar de Inodemus Abonné
Avatar de InodemusInodemus- 14/05/20 à 07:41:42

Next Inpact a écrit :

Surtout que certains services DoH ne communiquent que leur URL et pas une adresse IP.

Ce qui est une drôle d'idée je trouve, ça veut dire qu'il faut en plus un DNS classique (ou un autre DoH désigné lui par son IP), pour résoudre l'IP du DoH dont on n'a qu'une URL sans IP.

Quel intérêt de faire ça ? Ne pas dédier une IP au serveur DoH ? C'est rat quand même, surtout en IPv6 où déborde d'IPs.

Bref ça me choque pas du tout que Microsoft demande de saisir une IP et pas une URL, il faudrait juste une case à cocher pour dire si c'est un DoH ou non. Ou même plutôt le détecter automatiquement.

Avatar de dvr-x Abonné
Avatar de dvr-xdvr-x- 14/05/20 à 07:54:37

J'espère que ca ne sera pas activé nativement quand même. Sinon on va tous se retrouver par défaut sur les DNS de Cloudflare, ou Google....
Même si changer de DNS est très simple et que l'on n'est pas forcément d'accord avec la loi, le filtrage fait par les DNS de nos FAI n'apporte pas que des blocages inutiles.

Avatar de eureux Abonné
Avatar de eureuxeureux- 14/05/20 à 08:00:41

Oui, c'est top, un bon compromis news / explication / technique

Avatar de jeje07bis INpactien
Avatar de jeje07bisjeje07bis- 14/05/20 à 08:00:50

dvr-x a écrit :

J'espère que ca ne sera pas activé nativement quand même. Sinon on va tous se retrouver par défaut sur les DNS de Cloudflare, ou Google....

"Il est possible d'ajouter le résolveur de votre choix via une simple commande PowerShell (Administrateur) "

 

Avatar de David_L Équipe
Avatar de David_LDavid_L- 14/05/20 à 08:03:31

La réaction typique du sujet : elle est épidermique et ne correspond à rien de concret. Mais on répète vaguement la même chose dès qu'on lit DoH sans chercher à comprendre ce qui est réellement reproché.

Pour résumer (mais bon on a déjà détaillé ça pas mal dans le dossier) : l'implémentation dans les navigateurs est un souci puisque ça bypasse le système et ses réglages. Le fait de ne supporter que quelques services US est un premier souci, celui d'en forcer un par défaut en serait un autre).

Mais ici c'est l'utilisateur qui décide de modifier ses DNS dans l'implémentation actuelle, DoH est juste privilégié au DNS classique quand disponible et activé. Dans l'idéal il faudrait aussi que l'on puisse chosir si on veut utiliser DoH ou non pour un même résolveur DNS, mais DoH par défaut est préférable à pas de DoH ;) 

On peut ajouter les serveurs de son choix, il n'y a rien d'activé ou de sélectionné par défaut. Tant que cela reste comme ça, il n'y a rien à redire (si ce n'est que ça pourrait être plus simple).

Édité par David_L le 14/05/2020 à 08:03
Avatar de Soriatane Abonné
Avatar de SoriataneSoriatane- 14/05/20 à 08:20:58

Des infos sur une arrivée de DoH (ou DoT) sur les grandes distribution ou sur MacOS ou iOS.

Un petit dossier sur la configuration dans Android ??

Merci :smack:

Avatar de vizir67 Abonné
Avatar de vizir67vizir67- 14/05/20 à 09:00:21

Dans l'idéal il faudrait aussi que l'on puisse chosir si on veut utiliser
DoH ou non pour un même résolveur DNS, mais DoH par défaut est préférable à pas de DoH ;) ...

c'est, AUSSI, mon avis, mais bon... !

Avatar de bobbux Abonné
Avatar de bobbuxbobbux- 14/05/20 à 09:14:12

Ben oui j'ai pas compris là ? Comment résoudre l'IP du DoH si on a qu'une adresse http ?

Il n'est plus possible de commenter cette actualité.
Page 1 / 6
  • Introduction
  • DoH va intégrer les paramètres réseau
  • Ajoutez le serveur DoH de votre choix :
  • Vérifier que DoH est bien actif
S'abonner à partir de 3,75 €