L'article a été mis à jour avec les nouveautés introduites par la build 20185 de Windows 10.
Après les navigateurs, les OS ! Windows 10 sera-t-il le premier à supporter nativement DNS over HTTPS ? Cela semble bien être le cas puisque l'on peut désormais tester son intégration, passant désormais par les paramètres réseau.
DNS over HTTPS (DoH) est une nouvelle manière d'échanger avec un résolveur DNS. Très simple à mettre en œuvre et difficile à bloquer, il a l'avantage de passer par un flux chiffré. Des points forts qui expliquent sans doute son succès face à d'autres candidats visant le même objectif, comme DNS over TLS (DoT) par exemple.
Jusqu'à maintenant, son intégration était pratiquée au niveau des navigateurs. On peut en effet en profiter sous Firefox, mais aussi dans les versions de test de ceux dérivés de Chromium. Un choix qui pose problème puisque cela revient à accepter que chaque application dispose de ses propres paramètres pour les DNS, outrepassant les règles du système.
Notre dossier sur DNS over HTTPS :
- Qu'est-ce que DNS over HTTPS (DoH), qu'est-ce que cela peut vous apporter ?
- DNS over HTTPS (DoH) : au-delà de Firefox, une « question de confiance »
- DNS over HTTPS : pour Stéphane Bortzmeyer, « le diable est dans les détails »
- DNS over HTTPS (DoH) arrive dans Windows 10 : comment ça marche ?
- Comment activer DNS over HTTPS (DoH) ? (à venir)
Une situation qui peut être tolérée à court terme, mais qui ne doit pas durer. Si DNS over HTTPS est une évolution intéressante, son intégration doit plutôt se faire au niveau des routeurs, box de FAI et autres systèmes d'exploitation. Microsoft avait justement promis une évolution rapide de Windows 10 sur ce point. Elle évolue dans sa phase de test.
DoH va intégrer les paramètres réseau
Bonne nouvelle, contrairement à ce qui se pratique en général sous Linux, vous n'aurez pas d'outil spécial tel que Stubby à installer pour profiter de DNS over HTTPS sous Windows 10. Pour autant Microsoft n'est pas franchement le premier à s'intéresser aux DNS chiffrés intégrés à un OS, puisqu'Android supporte DoT depuis sa version 9 (Pie) sortie en 2018.
Depuis la précédente build 19628, qui avait ouvert la phase de test, l'activation était possible mais nécessitait une procédure complexe. Ce n'est plus le cas avec la build 20185 qui vient d'être publiée. Elle est disponible via le programme Insider ou à télécharger manuellement. Nous avons opté pour cette seconde solution.
Rendez-vous ensuite dans la section Réseau/Wi-Fi des Paramètres (Windows + i). Vous verrez vos différentes connexions, avec la possibilité d'ouvrir leurs propriétés. Dans celles-ci, une section est désormais consacrée aux DNS. Par défaut, ils seront réglés de manière automatique, via le protocole DHCP (c'est le routeur qui les fournit au système).
Optez pour manuel, en IPv4 et/ou IPv6. Si vous indiquez une adresse IP connue pour supporter DNS over HTTPS, l'option de chiffrement sera débloquée. Vous pourrez alors demander à l'utiliser obligatoirement, le désactiver ou indiquer qu'il doit être utilisé en priorité, mais qu'il est possible d'opter pour du trafic DNS non chiffré en cas de problème.
Une fois activé, les DNS manuels apparaîtront dans les propriétés de la connexion, ainsi que le choix de chiffrement effectué
Trois sont reconnus pour le moment :
Cloudflare :
- 1.1.1.1
- 1.0.0.1
- 2606:4700:4700::1111
- 2606:4700:4700::1001
- 8.8.8.8
- 8.8.4.4
- 2001:4860:4860::8888
- 2001:4860:4860::8844
Quad9
- 9.9.9.9
- 149.112.112.112
- 2620:fe::fe
- 2620:fe::fe:9
La façon de faire est maligne, mais on espère tout de même que l'on aura droit à une intégration plus ouverte dans la version définitive. Surtout que certains services DoH ne communiquent que leur URL et pas une adresse IP.
Ajoutez le serveur DoH de votre choix :
Il devrait être possible d'ajouter le résolveur de votre choix via cette commande PowerShell (Administrateur), mais selon nos essais, elle n'est pour le moment pas fonctionnelle.
netsh dns add encryption server=IP dohtemplate=URL
Vous pouvez vérifier l'URL du serveur DoH correspondant à l'IP de votre choix :
netsh dns show encryption server=IP
Vérifier que DoH est bien actif
Malheureusement, il n'est pas simple de vérifier que DoH est actif. Microsoft donne sa propre astuce, en utilisant l'analyseur de paquets intégré à Windows 10, accessible via PowerShell (ADministrateur). Il permet de visualiser les flux passant en clair via le port 53 (utilisé habituellement par les DNS). Si plus rien n'est visible, c'est que DoH est bien actif :
pktmon filter remove
pktmon filter add -p 53
pktmon start --etw -m real-time
Selon nos premiers essais, cela fonctionne à quelques exceptions près. Par exemple si vous effectuez des requêtes via nslookup, cela continuera de passer par une requête DNS classique par exemple.
