DNS over HTTPS (DoH) arrive dans Windows 10 : comment ça marche ?

Avec des adresses IP 51
Accès libre
image dediée
OS
David Legrand

Après les navigateurs, les OS ! Windows 10 sera-t-il le premier à supporter nativement DNS over HTTPS ? Cela semble bien être le cas puisque l'on peut désormais tester son intégration, encore assez sommaire.

DNS over HTTPS (DoH) est une nouvelle manière d'échanger avec un résolveur DNS. Très simple à mettre en œuvre et difficile à bloquer, il a l'avantage de passer par un flux chiffré. Des points forts qui expliquent sans doute son succès face à d'autres candidats visant le même objectif, comme DNS over TLS (DoT) par exemple.

Jusqu'à maintenant, son intégration était pratiquée au niveau des navigateurs. On peut en effet en profiter sous Firefox, mais aussi dans les versions de test de ceux dérivés de Chromium. Un choix qui pose problème puisque cela revient à accepter que chaque application dispose de ses propres paramètres pour les DNS, outrepassant les règles du système.

Notre dossier sur DNS over HTTPS :

Une situation qui peut être tolérée à court terme, mais qui ne doit pas durer. Si DNS over HTTPS est une évolution intéressante, son intégration doit plutôt se faire au niveau des routeurs, box de FAI et autres systèmes d'exploitation. Microsoft avait justement promis une évolution rapide de Windows 10 sur ce point. Elle vient d'entrer en phase de test.

Activer le support de DoH

Bonne nouvelle, contrairement à ce qui se pratique en général sous Linux, vous n'aurez pas d'outil spécial tel que Stubby à installer pour profiter de DNS over HTTPS sous Windows 10. Pour autant Microsoft n'est pas franchement le premier à s'intéresser aux DNS chiffrés intégrés à un OS, puisqu'Android supporte DoT depuis sa version 9 (Pie) sortie en 2018.

Ici il faut disposer de la dernière build 19628 de Windows 10, il ne s'agit en effet que d'une première phase de test. Cette version est disponible via le programme Insider ou à télécharger manuellement. Nous avons opté pour cette seconde option. Une fois le système installé, il faut modifier une clé dans la base de registre, précise l'éditeur.

Pour cela, passez par l'éditeur du registre (regedit.exe dans le menu Démarrer) :

Clé de registre : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Dnscache\Parameters
DWORD à ajouter : EnableAutoDoh
Valeur : 2

Bien entendu, cette méthode n'est valable que pour la phase de test, elle ne sera plus nécessaire ensuite. 

Configurer un serveur DoH à utiliser

Maintenant que le support de DoH est actif, vous pouvez l'utiliser. Pour cela, rendez-vous dans le Centre Réseau et partage, cliquez sur votre connexion internet active puis ses propriétés. Vous pouvez alors éditer ses paramètres pour les protocoles TCP/IP v4 et v6. Comme pour modifier le résolveur DNS à utiliser de manière classique en réalité.

Et c'est là que le bât blesse. Puisque pour s'éviter de gros changements d'interface pour le moment, Microsoft continue de vous demander une adresse IP, alors que DoH repose, comme son nom l'indique, sur HTTPS... et donc une URL. Pour cela, l'éditeur a trouvé une astuce : il a créé une liste de serveurs identifiés comme proposant un accès DoH.

DNS over HTTPS Windows 10

Si leur IP est entrée par l'utilisateur avec le support de DoH actif, il sera utilisé. Trois sont reconnus pour le moment :

Cloudflare :

  • 1.1.1.1
  • 1.0.0.1
  • 2606:4700:4700::1111
  • 2606:4700:4700::1001

Google

  • 8.8.8.8
  • 8.8.4.4
  • 2001:4860:4860::8888
  • 2001:4860:4860::8844

Quad9

  • 9.9.9.9
  • 149.112.112.112
  • 2620:fe::fe
  • 2620:fe::fe:9

La façon de faire est maligne, mais on espère tout de même que l'on aura droit à une meilleure intégration dans la version définitive. Surtout que certains services DoH ne communiquent que leur URL et pas une adresse IP.

Ajoute le serveur DoH de votre choix :

Il est possible d'ajouter le résolveur de votre choix via une simple commande PowerShell (Administrateur) :

netsh dns add encryption server=IP dohtemplate=URL

Vous pouvez vérifier l'URL du serveur DoH correspondant à l'IP de votre choix : 

netsh dns show encryption server=IP

Vérifier que DoH est bien actif

Malheureusement, il n'est pas simple de vérifier que DoH est actif. Microsoft donne sa propre astuce, en utilisant l'analyseur de paquets intégré à Windows 10, accessible via PowerShell (ADministrateur). Il permet de visualiser les flux passant en clair via le port 53 (utilisé habituellement par les DNS). Si plus rien n'est visible, c'est que DoH est bien actif :

pktmon filter remove
pktmon filter add -p 53
pktmon start --etw -m real-time

Selon nos premiers essais, cela fonctionne à quelques exceptions près. Par exemple si vous effectuez des requêtes via nslookup, cela continuera de passer par une requête DNS classique par exemple. 


chargement
Chargement des commentaires...