Après une expérimentation et quelques activations depuis fin 2019, Mozilla annonce aujourd'hui que le chiffrement par défaut des requêtes DNS pour Firefox (DNS over HTTPS ; DoH) est en cours de déploiement pour tous les utilisateurs aux États-Unis.
Ce déploiement outre-Atlantique se fait de manière progressive et se poursuivra pendant les prochaines semaines, à mesure qu'aucun problème majeur ne sera détecté. Ce sont les résolveurs de Cloudflare qui sont utilisés, mais avec la possibilité pour l'utilisateur d'opter pour NextDNS dans les paramètres ou de saisir l'adresse d'un autre service.
Hors des États-Unis, il n'y a pas d'activation par défaut, mais les utilisateurs peuvent procéder à une activation manuelle dans les mêmes conditions depuis les paramètres de connexion de Firefox (Options, Général, Paramètres réseau).
" Nous continuons d'explorer la possibilité d'activer DoH dans d'autres pays et nous travaillons à ajouter à notre programme davantage de fournisseurs en tant que résolveurs de confiance ", écrit Mozilla.
Ce chiffrement des requêtes DNS, pour la correspondance entre une adresse IP et un nom de domaine, a valu quelques critiques à Mozilla et des inquiétudes pour par exemple la capacité à bloquer du contenu web jugé dangereux.
Des précautions ont été prises par Mozilla, comme une désactivation facile dans le contexte des entreprises, une désactivation automatique en rapport avec des contrôles parentaux activés.
Pour Mozilla, effectuer des recherches DNS au moyen d'une connexion HTTPS chiffrée " aide à cacher l'historique de navigation aux attaquants sur le réseau, aide à empêcher la collecte de données par des tiers sur le réseau pour relier un ordinateur aux sites web consultés. "
DNS, HTTPS, DoH, it's a lot of acronyms.
— Firefox ? (@firefox) February 25, 2020
The most important thing to know is we're basically saying FU to attackers on the network and 3rd parties who have access to data that ties your computer to the sites you visit.https://t.co/S6GpzuMEJR
D'autres navigateurs que Firefox vont suivre pour DoH, mais pas nécessairement avec une activation par défaut.
Du côte du plus populaire d'entre tous… Google Chrome, il y a une expérimentation. Elle repose sur une mise à niveau du protocole utilisé pour la résolution DNS, tout en conservant le fournisseur DNS de l'utilisateur. Il s'agit de vérifier si un serveur DNS peut être mis à niveau vers un serveur DoH correspondant du fournisseur.
