La dernière préversion de Windows 11 intègre DNS over TLS (DoT)
Le 18 juillet 2022 à 06h17
2 min
Logiciel
Logiciel
Le système (tout comme Windows 10) permet déjà l’utilisation de DoH, pour DNS over HTTPS. Avec ce dernier, le trafic DNS peut être routé comme un flux HTTPS sur le port 443. La question du « meilleur » fait débat.
La préversion 25158, sortie il y a quelques jours dans le canal Dev, contient DNS over TLS. La technique, concurrente de la première, permet cette fois d’encapsuler le trafic DNS chiffré dans un tunnel TLS sur le port 853.
Pour activer la fonction et faire des tests, il faut procéder en deux étapes. Se rendre d’abord dans Paramètres > Réseau, sélectionner l’adaptateur réseau utilisé pour se connecter à Internet, aller dans les propriétés supplémentaires et cliquer sur le bouton Modifier correspondant à la ligne « Attribution du serveur DNS ». Là, il faudra entrer l’adresse, ou les adresses IPv4/IPv6, puis confirmer.
Ouvrez ensuite une invite de commande avec les droits administrateur, puis tapez les commandes suivantes :
netsh dns add global dot=yes
netsh dns add encryption server=[the-ip-address-configured-as-the-DNS-resolver] dothost=: autoupgrade=yes
ipconfig /flushdns
Si vous ne souhaitez plus utiliser de serveur DoT, il suffira de se rendre dans les propriétés de l'adaptateur réseau et de basculer l'attribution du serveur DNS en automatique.
Le 18 juillet 2022 à 06h17
Commentaires (20)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 18/07/2022 à 11h52
Ils commencent seulement à ajouter DoT…
Maintenant il existe DoQ (similaire à DoT, mais avec QUIC à la place de TCP+TLS), et DoH3 (comme DoH, mais avec HTTP/3 au lieu de HTTP/3, donc basé sur QUIC).
Le 18/07/2022 à 11h56
C’est pas comme si l’intérêt était limité pour le commun des mortels…
Le 18/07/2022 à 13h15
Quel réel gain y-a-t-il pour l’utilisateur final à utiliser DoQ au lieu de DoT ?
Le 18/07/2022 à 13h59
La latence à l’établissement de la connexion (handshake TLS) est un peu plus faible (surtout si tout n’était pas activé dans les couches TCP/TLS : TCP Fast Open, 0-RTT), et elle reste valide même si l’IP du client change.
Il n’y a pas de blocage de l’ensemble des requêtes d’une connexion si un paquet est perdu (QUIC gère plusieurs flux indépendants).
Sachant que les gros clients comme les browsers, et probablement le client DNS de Windows utilisent déjà une connexion partagée, et que DoT permet l’envoi de plusieurs requêtes sans attendre les réponses (pipelining), le gain devrait être limité sur PC.
En revanche sur mobile, même si Android semble maintenir une connexion persistante, il y a des pertes de paquets, la latence est plus importante, et l’IP peut changer, donc ça pourrait aider.
Le 18/07/2022 à 15h53
99.9% de l’humanité s’en fiche, si il faut trouver un serveur blablable cette fonctionnalité est DOA sauf pour les experts
Le 18/07/2022 à 12h32
#Jenairienàcacher
Le 18/07/2022 à 12h45
En Français ?
Le 18/07/2022 à 13h04
avortement rendu illégal aux états-unis -> historique de navigation et SMS utilisés pour poursuivre des femmes (qui n’avaient “rien à cacher, lol”) pour crime d’avortement…
et vu les démarches de manu qui calque sa politique sur celles des zétazuni, on est pas loin de ce genre de coup fourré…
Le 18/07/2022 à 13h44
Je ne vois toujours pas le rapport…
Que ce soit DoH ou DoT, c’est une option activable (ou qui le sera dans le cas de DoT), mais qui ne l’est pas pas défaut. Donc ca ne changera absolument rien pour le commun des mortels, comme je le dis. C’est pas une question de #jenairienàcacher.
Si je reprends ton exemple qui tient pas trop debout, tu penses vraiment que ces femmes à l’update de leur Windows, seraient vite allées activer DoT ?
Franchement… Tous ceux qui en ont connaissance et son soucieux du sujet ont déjà activé DoH ou passent par d’autres solutions…
Si encore c’était une solution activée par défaut, avec choix du serveur à l’installation, je ne dis pas ! Je n’aurais rien dit de tel…
Et quand bien même ce serait le cas, vous pensez vraiment que le Gouv laisserait MS activer un “contournement” DNS par défaut alors que presque tous les blocages qu’ils font c’est au niveau des serveurs DNS de nos FAI ?
Le 18/07/2022 à 15h16
C’est un très bon exemple je trouve.
Le 18/07/2022 à 15h29
Oui, mais hors contexte.
Tes historiques de navigation que Log google, tu peux utiliser Dot, Doh, un VPN, ce que tu veux, si tu passes par le service Google ca ne change pas grand chose…
Le 18/07/2022 à 15h52
Humm la cour suprême a simplement dit qu’elle n’a pas la compétence pour statuer puisque ça n’est pas de son ressort étant donné que la constitution qui est là pour limiter les pouvoirs de l’état fédéral n’en parle ni de près ni de loin. Donc ou le législateur fait une loi et ça sera pareil pour tout le monde ou alors chaque état fait comme il veut.
Le reste est simplement de la fake news et du délire collectif.
Le 18/07/2022 à 14h08
DoT ou DoH, le sujet est compliqué et tout le monde n’est pas d’accord. Dans les arguments en faveur du DoH, c’est que le traffic DNS est en quelque sorte camouflé dans le traffic HTTPS classique, ce qui complexifie la tâche des gens souhaitant t’espionner.
Enfin bref, comme cité dans l’article, Cloudflare résume mieux la situation : https://www.cloudflare.com/fr-fr/learning/dns/dns-over-tls/
Le 18/07/2022 à 14h17
Tu commences par dire que “l’intérêt était limité pour le commun des mortels” et quand on donne des arguments pour la fonction, tu changes de discours en disant que même ceux pour qui ça aurait de l’intérêt ne l’activeront pas et que ça “ne changera absolument rien” pour ce même commun des mortels.
Si tu changes de discours à chaque fois, on ne va pas aller bien loin. Je te laisse continuer tout seul.
En tout cas, j’avais activé le DOH, mais je l’ai supprimé parce que ça marchait mal chez moi. J’avais trop de pages qui ne s’affichaient plus.
Je vais essayer DoT pour voir.
Le 18/07/2022 à 15h21
Non, j’ai dit que l’intérêt de l’ajout de DoT par MS était limité pour le commun des mortels, je le maintiens. Je n’ai pas dit que la fonction en elle même était sans intérêt.
Je ne change pas de discours, d’ailleurs au moins j’écris des phrases, pas juste un hashtag…
L’ajout d’une fonctionnalité très peu connue, qui s’active en deux étapes dont une en ligne de commande, pour laquelle il faut connaitre un serveur. Ca va arriver par Maj sans aucune information à l’utilisateur. Tu penses vraiment que les gens vont se jeter dessus ?
Ceux du milieu comme nous c’est intéressant, et encore beaucoup ne vont pas l’activer. Ca ne va rien changer pour madame michu qui veut avorter…
Le 19/07/2022 à 06h55
Que les requêtes DNS soient écoutables, ne signifie pas qu’elles sont forcément écoutées…
La différence, c’est le tuyau : l’historique de navigation passe en clair chez ton FAI vs l’historique de navigation passe en chiffré jusqu’au fournisseur de DNS. Donc la question c’est pas franchement DoH, DoT ou que sais-je, mais plutôt fais-tu confiance à ton FAI, ou une boite privée qui te fourni un service “gratuitement” sans que tu comprennes leur modèle de financement ?
Le 19/07/2022 à 07h31
Mes connaissances s’étaient arrêtées à DoH. Quel est l’intérêt de DoT vs.DoH ? Et je lis dans les commentaires qu’il y aurait aussi DoQ et DoH3.
#aspirine
Vous auriez pas un lien vers un site qui explique et compare les différentes options ?
Le 19/07/2022 à 08h05
Pour faire très simple DoH et DoT ne passent pas par la même couche réseau (Applicative / Transport) et n’utilisent pas le même port. DoH utilise le port HTTPS et DoT son propre port.
D’un point de vu Admin réseau par exemple, il y aura une préférence pour DoT qui est plus facilement gérable.
DoQ, c’est encore autre chose, ca passe par le protocol Quic, qui est plus récent et moderne que TCP, il me semble que c’était dev par Google à l’origine. Mais je ne suis pas expert donc je ne vais pas te dire de bêtises :) En tous cas le protocole est plus sécurisé, gère mieux la perte de paquets (et plus rapide?).
DoH3 c’est du DoH qui utilise Quic (HTTP/3)
Le 19/07/2022 à 07h59
La meilleure solution pour protéger votre vie privée c’est évidement d’envoyer vos requêtes DNS vers un serveur géré par cloudflare, ou google, ou un projet “open-blabla on garde pas les logs, la vie-de-ma-mère-c’est-vrai”.
Si en plus les requêtes/réponses sont chiffrées, alors vous pouvez en toute confiance surfer sur le web sans être tracké par les scripts facebook, les encarts twitter et les pubs adsense.
Le 20/07/2022 à 19h18
Google ajoute DoH3 dans Android >= 11 (+ certains Android 10) via une mise à jour du système Google Play : https://security.googleblog.com/2022/07/dns-over-http3-in-android.html
Pour l’instant c’est limité à dns.google et cloudflare-dns.com, les autres restent en DoT.