Firefox : DNS over HTTPS par défaut outre-Atlantique

Le par  |  9 commentaire(s)
firefox-nouveau-logo

Pour les utilisateurs aux États-Unis, Firefox active par défaut le chiffrement des recherches DNS ou DNS over HTTPS.

Après une expérimentation et quelques activations depuis fin 2019, Mozilla annonce aujourd'hui que le chiffrement par défaut des requêtes DNS pour Firefox (DNS over HTTPS ; DoH) est en cours de déploiement pour tous les utilisateurs aux États-Unis.

Ce déploiement outre-Atlantique se fait de manière progressive et se poursuivra pendant les prochaines semaines, à mesure qu'aucun problème majeur ne sera détecté. Ce sont les résolveurs de Cloudflare qui sont utilisés, mais avec la possibilité pour l'utilisateur d'opter pour NextDNS dans les paramètres ou de saisir l'adresse d'un autre service.

Hors des États-Unis, il n'y a pas d'activation par défaut, mais les utilisateurs peuvent procéder à une activation manuelle dans les mêmes conditions depuis les paramètres de connexion de Firefox (Options, Général, Paramètres réseau).

firefox-doh
" Nous continuons d'explorer la possibilité d'activer DoH dans d'autres pays et nous travaillons à ajouter à notre programme davantage de fournisseurs en tant que résolveurs de confiance ", écrit Mozilla.

Ce chiffrement des requêtes DNS, pour la correspondance entre une adresse IP et un nom de domaine, a valu quelques critiques à Mozilla et des inquiétudes pour par exemple la capacité à bloquer du contenu web jugé dangereux.

Des précautions ont été prises par Mozilla, comme une désactivation facile dans le contexte des entreprises, une désactivation automatique en rapport avec des contrôles parentaux activés.

Pour Mozilla, effectuer des recherches DNS au moyen d'une connexion HTTPS chiffrée " aide à cacher l'historique de navigation aux attaquants sur le réseau, aide à empêcher la collecte de données par des tiers sur le réseau pour relier un ordinateur aux sites web consultés. "

D'autres navigateurs que Firefox vont suivre pour DoH, mais pas nécessairement avec une activation par défaut.

Du côte du plus populaire d'entre tous… Google Chrome, il y a une expérimentation. Elle repose sur une mise à niveau du protocole utilisé pour la résolution DNS, tout en conservant le fournisseur DNS de l'utilisateur. Il s'agit de vérifier si un serveur DNS peut être mis à niveau vers un serveur DoH correspondant du fournisseur.

Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #2092189
Si ça arrive en France par défaut (ou même désactivable, ou activable sans l'être positionné par défaut) ce qui me chagrine c'est que ce soit Cloudflare, entreprise américaine.
Aux Etats-Unis pas soucis, ils sont aux Etats-Unis ; mais en France où on parle sécurité, vie privée, contrôle des ses données, etc. ça me paraît incohérent de valider un truc pareil.

Que ce soit clair, je n'ai rien contre le DoH, c'est très bien, et tant que ça peut faire chier (mettre des batons dans les roues) les FAI et gouvernements, c'est tout bon (je parle de vie privée en général si surveillance globale il y a, je ne parle pas des traficants, des pédo et tout le boxon)
Je préfère tout de même DNS-crypt .
Le #2092191
Subutox a écrit :

Si ça arrive en France par défaut (ou même désactivable, ou activable sans l'être positionné par défaut) ce qui me chagrine c'est que ce soit Cloudflare, entreprise américaine.
Aux Etats-Unis pas soucis, ils sont aux Etats-Unis ; mais en France où on parle sécurité, vie privée, contrôle des ses données, etc. ça me paraît incohérent de valider un truc pareil.

Que ce soit clair, je n'ai rien contre le DoH, c'est très bien, et tant que ça peut faire chier (mettre des batons dans les roues) les FAI et gouvernements, c'est tout bon (je parle de vie privée en général si surveillance globale il y a, je ne parle pas des traficants, des pédo et tout le boxon)
Je préfère tout de même DNS-crypt .


Il n'y a pas que cloudflare en France, tu n'a qu'à regarder
Le #2092193
Cool, merci pour l'info, c'est activé (même si mes DNS principaux sont déjà chiffrés).
Le #2092195
FRANCKYIV a écrit :

Subutox a écrit :

Si ça arrive en France par défaut (ou même désactivable, ou activable sans l'être positionné par défaut) ce qui me chagrine c'est que ce soit Cloudflare, entreprise américaine.
Aux Etats-Unis pas soucis, ils sont aux Etats-Unis ; mais en France où on parle sécurité, vie privée, contrôle des ses données, etc. ça me paraît incohérent de valider un truc pareil.

Que ce soit clair, je n'ai rien contre le DoH, c'est très bien, et tant que ça peut faire chier (mettre des batons dans les roues) les FAI et gouvernements, c'est tout bon (je parle de vie privée en général si surveillance globale il y a, je ne parle pas des traficants, des pédo et tout le boxon)
Je préfère tout de même DNS-crypt .


Il n'y a pas que cloudflare en France, tu n'a qu'à regarder


Au départ j'étais très frileux sur cette option, et puis après réflexion, je pense que l'on peut y gagner, à condition de passer par un DoH maison, basé sur PiHole ou autre.
Le #2092206
yam103 a écrit :

FRANCKYIV a écrit :

Subutox a écrit :

Si ça arrive en France par défaut (ou même désactivable, ou activable sans l'être positionné par défaut) ce qui me chagrine c'est que ce soit Cloudflare, entreprise américaine.
Aux Etats-Unis pas soucis, ils sont aux Etats-Unis ; mais en France où on parle sécurité, vie privée, contrôle des ses données, etc. ça me paraît incohérent de valider un truc pareil.

Que ce soit clair, je n'ai rien contre le DoH, c'est très bien, et tant que ça peut faire chier (mettre des batons dans les roues) les FAI et gouvernements, c'est tout bon (je parle de vie privée en général si surveillance globale il y a, je ne parle pas des traficants, des pédo et tout le boxon)
Je préfère tout de même DNS-crypt .


Il n'y a pas que cloudflare en France, tu n'a qu'à regarder


Au départ j'étais très frileux sur cette option, et puis après réflexion, je pense que l'on peut y gagner, à condition de passer par un DoH maison, basé sur PiHole ou autre.


J'ai un container avec unbound pour ça, mais du coup je ne vois pas l’intérêt d'un DoH dans mon cas.
Par contre que les requêtes de mon unbound soient chiffrées, oui
C'est le même principe pour pihole.

Cela dit, j'ai configuré unbound pour qu'il effectue les requêtes, pas simplement en relais.
Le #2092250
Le portail de mon boulot ne marche pas si je change les DNS (le reste oui). Y'a des gens qui vont être emmerdés sans savoir quoi faire.
Le #2092258
Padrys a écrit :

yam103 a écrit :

FRANCKYIV a écrit :

Subutox a écrit :

Si ça arrive en France par défaut (ou même désactivable, ou activable sans l'être positionné par défaut) ce qui me chagrine c'est que ce soit Cloudflare, entreprise américaine.
Aux Etats-Unis pas soucis, ils sont aux Etats-Unis ; mais en France où on parle sécurité, vie privée, contrôle des ses données, etc. ça me paraît incohérent de valider un truc pareil.

Que ce soit clair, je n'ai rien contre le DoH, c'est très bien, et tant que ça peut faire chier (mettre des batons dans les roues) les FAI et gouvernements, c'est tout bon (je parle de vie privée en général si surveillance globale il y a, je ne parle pas des traficants, des pédo et tout le boxon)
Je préfère tout de même DNS-crypt .


Il n'y a pas que cloudflare en France, tu n'a qu'à regarder


Au départ j'étais très frileux sur cette option, et puis après réflexion, je pense que l'on peut y gagner, à condition de passer par un DoH maison, basé sur PiHole ou autre.


J'ai un container avec unbound pour ça, mais du coup je ne vois pas l’intérêt d'un DoH dans mon cas.
Par contre que les requêtes de mon unbound soient chiffrées, oui
C'est le même principe pour pihole.

Cela dit, j'ai configuré unbound pour qu'il effectue les requêtes, pas simplement en relais.


L'intérêt est l'ouverture de flux.
Sur certains réseaux ouverts, type "supermarchés", "centre commerciaux", ou "Wifi invité en entreprise", "TGV', les flux se cantonnent au 80, 443, pous ou moins restreints aux autres ports.
Alors oui, bien souvent, je m'ouvre un openvpn vers ma freebox sur le port 443, et cela règle tous les problèmes, mais sans utilisation d'un VPN, utiliser son propre serveur DNS permet de virer les pubs quelque soit l'appareil, et sans faire transiter tous les flux, sans subir un filtrage sur le port 53.
Le #2092267
yam103 a écrit :

Padrys a écrit :

yam103 a écrit :

FRANCKYIV a écrit :

Subutox a écrit :

Si ça arrive en France par défaut (ou même désactivable, ou activable sans l'être positionné par défaut) ce qui me chagrine c'est que ce soit Cloudflare, entreprise américaine.
Aux Etats-Unis pas soucis, ils sont aux Etats-Unis ; mais en France où on parle sécurité, vie privée, contrôle des ses données, etc. ça me paraît incohérent de valider un truc pareil.

Que ce soit clair, je n'ai rien contre le DoH, c'est très bien, et tant que ça peut faire chier (mettre des batons dans les roues) les FAI et gouvernements, c'est tout bon (je parle de vie privée en général si surveillance globale il y a, je ne parle pas des traficants, des pédo et tout le boxon)
Je préfère tout de même DNS-crypt .


Il n'y a pas que cloudflare en France, tu n'a qu'à regarder


Au départ j'étais très frileux sur cette option, et puis après réflexion, je pense que l'on peut y gagner, à condition de passer par un DoH maison, basé sur PiHole ou autre.


J'ai un container avec unbound pour ça, mais du coup je ne vois pas l’intérêt d'un DoH dans mon cas.
Par contre que les requêtes de mon unbound soient chiffrées, oui
C'est le même principe pour pihole.

Cela dit, j'ai configuré unbound pour qu'il effectue les requêtes, pas simplement en relais.


L'intérêt est l'ouverture de flux.
Sur certains réseaux ouverts, type "supermarchés", "centre commerciaux", ou "Wifi invité en entreprise", "TGV', les flux se cantonnent au 80, 443, pous ou moins restreints aux autres ports.
Alors oui, bien souvent, je m'ouvre un openvpn vers ma freebox sur le port 443, et cela règle tous les problèmes, mais sans utilisation d'un VPN, utiliser son propre serveur DNS permet de virer les pubs quelque soit l'appareil, et sans faire transiter tous les flux, sans subir un filtrage sur le port 53.


J'aimerais bien partager avec toi quelques trucs sur l'archi réseau en MP
Le #2092542
Ce que je trouve amusant (paradoxal ?) c'est que certains vont s'empresser d'adopter FF pour ça et dans un même temps mettre tout un tas d'infos perso sur les réseaux "sots si hauts"
Suivre les commentaires
Poster un commentaire
Anonyme
Anonyme