Google Public DNS est un service de Google qui consiste à offrir des serveurs DNS récursifs aux utilisateurs d'Internet. Il a été annoncé le 9 décembre 2009. Google Public DNS permet à quiconque de convertir des noms de domaine Internet tels que www.exemple.com en adresses Internet requises par une application de messagerie ou un navigateur Web. Tout comme vos requêtes de recherche peuvent exposer des informations sensibles, les domaines que vous recherchez via DNS peuvent également être sensibles.C’est la raison pour laquelle Google a annoncé que les utilisateurs peuvent désormais sécuriser les requêtes entre leurs appareils et le DNS public Google avec DNS-over-TLS, en préservant leur confidentialité et leur intégrité.
Envoyé par Google
L’environnement DNS s’est amélioré depuis le lancement du DNS public Google, il y a plus de huit ans. À l’époque, comme aujourd'hui, la mission de Google Public DNS consistait à améliorer la sécurité et la précision du DNS pour les utilisateurs du monde entier. Mais aujourd’hui, on prend de plus en plus conscience de la nécessité de protéger les communications des utilisateurs avec leurs résolveurs DNS contre les fausses réponses et de protéger leur vie privée de la surveillance du réseau. Le protocole DNS sur TLS spécifie un moyen standard d'assurer la sécurité et la confidentialité du trafic DNS entre les utilisateurs et leurs résolveurs. Désormais, les utilisateurs peuvent sécuriser leurs connexions au DNS public Google avec TLS, la même technologie qui protège leurs connexions Web HTTPS.
Nous avons mis en œuvre la spécification DNS-over-TLS ainsi que les recommandations RFC 7766 afin de minimiser les frais généraux liés à l'utilisation de TLS. Celles-ci incluent la prise en charge de TLS 1.3 (pour des connexions plus rapides et une sécurité améliorée), l'ouverture rapide du protocole TCP et le traitement en pipeline de plusieurs requêtes et réponses désordonnées sur une seule connexion. Tout cela est déployé avec l'infrastructure de service de Google, qui offre une gestion fiable et évolutive des connexions DNS sur TLS.
Nous avons mis en œuvre la spécification DNS-over-TLS ainsi que les recommandations RFC 7766 afin de minimiser les frais généraux liés à l'utilisation de TLS. Celles-ci incluent la prise en charge de TLS 1.3 (pour des connexions plus rapides et une sécurité améliorée), l'ouverture rapide du protocole TCP et le traitement en pipeline de plusieurs requêtes et réponses désordonnées sur une seule connexion. Tout cela est déployé avec l'infrastructure de service de Google, qui offre une gestion fiable et évolutive des connexions DNS sur TLS.
Un système client peut utiliser DNS-over-TLS avec l'un des deux profils: confidentialité stricte ou opportuniste. Avec le profil de confidentialité strict, l'utilisateur configure un nom de serveur DNS (le nom de domaine d'authentification dans RFC 8310) pour le service DNS sur TLS et le client doit pouvoir créer une connexion TLS sécurisée sur le port 853 vers le serveur DNS. L'échec de l'établissement d'une connexion sécurisée est une erreur grave et n'entraînera aucun service DNS pour le client.
Avec le profil de confidentialité opportuniste, l'adresse IP du serveur DNS peut être configurée directement par l'utilisateur ou obtenue du réseau local (à l'aide de DHCP ou d'un autre moyen). Le résolveur client tente d'établir une connexion sécurisée sur le port 853 vers le serveur DNS spécifié. Si une connexion sécurisée est établie, cela garantit la confidentialité des requêtes de l'utilisateur émanant d'observateurs passifs sur le chemin. Comme le client ne vérifie pas l'authenticité du serveur, il n'est pas protégé contre un attaquant actif. Si le client ne peut pas établir de connexion sécurisée sur le port 853, il communique avec le serveur DNS sur le port DNS standard 53 via UDP ou TCP sans aucune sécurité ou confidentialité. L'utilisation de Opportunistic Privacy a pour but de soutenir le déploiement progressif d'une confidentialité accrue en vue d'une adoption généralisée du profil de confidentialité strict.
Lors de l'utilisation d'un profil de confidentialité strict, le stub resolver établit une connexion DNS sur TLS en procédant comme suit.
- Le stub resolver est configuré avec le nom de résolveur DNS-over-TLS, dns.google.
- Le stub resolver obtient la ou les adresses IP de dns.google à l'aide du résolveur DNS local.
- Le stub resolver établit une connexion TCP avec le port 853 à l'adresse IP.
- Le stub resolver initie une négociation TLS avec le résolveur DNS public Google.
- Le serveur DNS public Google renvoie son certificat TLS ainsi qu'une chaîne complète de certificats TLS allant jusqu'à un certificat racine approuvé.
- Le stub resolver vérifie l'identité du serveur en fonction des certificats présentés.
- Si l'identité ne peut pas être validée, la résolution du nom DNS échoue et le stub resolver renvoie une erreur.
- Une fois la connexion TLS établie, le stub resolver dispose d'un chemin de communication sécurisé entre un serveur DNS public Google et un serveur.
- Désormais, le stub resolver peut envoyer des requêtes DNS et recevoir des réponses via la connexion.
Lorsqu'il utilise un profil de confidentialité opportuniste, le client tente d'abord de créer une connexion TLS sécurisée au serveur. Ceci est similaire à ce qui précède avec une différence importante: aucune validation de certificat n'est effectuée par le client. Cela signifie que l'identité du serveur ne peut pas être approuvée. Si une connexion TLS sur le port 853 vers le serveur ne peut pas être établie, le stub resolver revient communiquer avec le serveur DNS sur le port 53.
Quelques services concurrents
Cloudfare et son service 1.1.1.1
Le 1er avril 2018, Cloudflare a amorcé le lancement de son propre service DNS grand public et promet d'accélérer votre connexion Internet tout en la gardant privée. Baptisée 1.1.1.1. C’est par le biais de son PDG, Matthew Prince, que la société a annoncé la disponibilité de ce service.
Prince a alors expliqué que : « Le problème est que ces services DNS sont souvent lents et ne respectent pas la vie privée. Ce que de nombreux internautes ne réalisent pas, c'est que même si vous visitez un site web crypté – avec le petit verrou vert dans votre navigateur – cela n'empêche pas votre résolveur DNS de connaître l'identité de tous les sites que vous visitez. Cela signifie que, par défaut, votre FAI, chaque réseau wifi auquel vous êtes connecté et votre fournisseur de réseau mobile ont une liste de tous les sites que vous avez visités lors de leur utilisation. »
En quelques mots, le service de résolveur basé sur .onion est un service en onion Tor qui transmet toutes les communications sur les ports DNS vers les ports correspondants du 1.1.1.1, d'où l'IP du client apparent est une IP interne plutôt que la vôtre. Mahrud explique qu’en réalité c’est bien plus que cela.
Quad9
Le résolveur DNS Quad9 (prononcer « quoi de neuf » en français) a été le en novembre 2017. C'est un résolveur DNS public, mais dont l'originalité est d'être accessible de manière sécurisée, avec TLS.
Question politique, des points à noter :
- Quad9 s'engage à ne pas stocker votre adresse IP,
- leur résolveur est un résolveur menteur : il ne répond pas (délibérement) pour les noms de domaines considérant comme lié à des activités néfastes comme la distribution de logiciel malveillant.
Bien entendu, la liste des alternatives n'est pas exhaustive. Nous pouvons rajouter OpenDNS, Comodo, Yandex, etc.
Source : Google (annonce), Google (détails techniques)
Et vous ?
Utilisez-vous Google Public DNS ? Qu'en pensez-vous ? Que pensez-vous du support de la spécification DNS-over-TLS ? Utilisez-vous une alternative ? Laquelle ? Quelles sont les raisons qui vous ont motivé ? Cette alternative dispose-t-elle du support de la spécification DNS-over-TLS ?Voir aussi :
Cloudfare étoffe 1.1.1.1, son offre de service DNS grand public supposé respectueux de la vie privée, d'un résolveur sur le réseau Tor 
