C’est la raison pour laquelle Google a annoncé que les utilisateurs peuvent désormais sécuriser les requêtes entre leurs appareils et le DNS public Google avec DNS-over-TLS, en préservant leur confidentialité et leur intégrité.
Envoyé par Google
Un système client peut utiliser DNS-over-TLS avec l'un des deux profils: confidentialité stricte ou opportuniste. Avec le profil de confidentialité strict, l'utilisateur configure un nom de serveur DNS (le nom de domaine d'authentification dans RFC 8310) pour le service DNS sur TLS et le client doit pouvoir créer une connexion TLS sécurisée sur le port 853 vers le serveur DNS. L'échec de l'établissement d'une connexion sécurisée est une erreur grave et n'entraînera aucun service DNS pour le client.
Avec le profil de confidentialité opportuniste, l'adresse IP du serveur DNS peut être configurée directement par l'utilisateur ou obtenue du réseau local (à l'aide de DHCP ou d'un autre moyen). Le résolveur client tente d'établir une connexion sécurisée sur le port 853 vers le serveur DNS spécifié. Si une connexion sécurisée est établie, cela garantit la confidentialité des requêtes de l'utilisateur émanant d'observateurs passifs sur le chemin. Comme le client ne vérifie pas l'authenticité du serveur, il n'est pas protégé contre un attaquant actif. Si le client ne peut pas établir de connexion sécurisée sur le port 853, il communique avec le serveur DNS sur le port DNS standard 53 via UDP ou TCP sans aucune sécurité ou confidentialité. L'utilisation de Opportunistic Privacy a pour but de soutenir le déploiement progressif d'une confidentialité accrue en vue d'une adoption généralisée du profil de confidentialité strict.
Lors de l'utilisation d'un profil de confidentialité strict, le stub resolver établit une connexion DNS sur TLS en procédant comme suit.
- Le stub resolver est configuré avec le nom de résolveur DNS-over-TLS, dns.google.
- Le stub resolver obtient la ou les adresses IP de dns.google à l'aide du résolveur DNS local.
- Le stub resolver établit une connexion TCP avec le port 853 à l'adresse IP.
- Le stub resolver initie une négociation TLS avec le résolveur DNS public Google.
- Le serveur DNS public Google renvoie son certificat TLS ainsi qu'une chaîne complète de certificats TLS allant jusqu'à un certificat racine approuvé.
- Le stub resolver vérifie l'identité du serveur en fonction des certificats présentés.
- Si l'identité ne peut pas être validée, la résolution du nom DNS échoue et le stub resolver renvoie une erreur.
- Une fois la connexion TLS établie, le stub resolver dispose d'un chemin de communication sécurisé entre un serveur DNS public Google et un serveur.
- Désormais, le stub resolver peut envoyer des requêtes DNS et recevoir des réponses via la connexion.
Lorsqu'il utilise un profil de confidentialité opportuniste, le client tente d'abord de créer une connexion TLS sécurisée au serveur. Ceci est similaire à ce qui précède avec une différence importante: aucune validation de certificat n'est effectuée par le client. Cela signifie que l'identité du serveur ne peut pas être approuvée. Si une connexion TLS sur le port 853 vers le serveur ne peut pas être établie, le stub resolver revient communiquer avec le serveur DNS sur le port 53.
Quelques services concurrents
Cloudfare et son service 1.1.1.1
Le 1er avril 2018, Cloudflare a amorcé le lancement de son propre service DNS grand public et promet d'accélérer votre connexion Internet tout en la gardant privée. Baptisée 1.1.1.1. C’est par le biais de son PDG, Matthew Prince, que la société a annoncé la disponibilité de ce service.
Prince a alors expliqué que : « Le problème est que ces services DNS sont souvent lents et ne respectent pas la vie privée. Ce que de nombreux internautes ne réalisent pas, c'est que même si vous visitez un site web crypté – avec le petit verrou vert dans votre navigateur – cela n'empêche pas votre résolveur DNS de connaître l'identité de tous les sites que vous visitez. Cela signifie que, par défaut, votre FAI, chaque réseau wifi auquel vous êtes connecté et votre fournisseur de réseau mobile ont une liste de tous les sites que vous avez visités lors de leur utilisation. »
En quelques mots, le service de résolveur basé sur .onion est un service en onion Tor qui transmet toutes les communications sur les ports DNS vers les ports correspondants du 1.1.1.1, d'où l'IP du client apparent est une IP interne plutôt que la vôtre. Mahrud explique qu’en réalité c’est bien plus que cela.
Quad9
Le résolveur DNS Quad9 (prononcer « quoi de neuf » en français) a été le en novembre 2017. C'est un résolveur DNS public, mais dont l'originalité est d'être accessible de manière sécurisée, avec TLS.
Question politique, des points à noter :
- Quad9 s'engage à ne pas stocker votre adresse IP,
- leur résolveur est un résolveur menteur : il ne répond pas (délibérement) pour les noms de domaines considérant comme lié à des activités néfastes comme la distribution de logiciel malveillant.
Bien entendu, la liste des alternatives n'est pas exhaustive. Nous pouvons rajouter OpenDNS, Comodo, Yandex, etc.
Source : Google (annonce), Google (détails techniques)
Et vous ?
Utilisez-vous Google Public DNS ? Qu'en pensez-vous ?
Que pensez-vous du support de la spécification DNS-over-TLS ?
Utilisez-vous une alternative ? Laquelle ?
Quelles sont les raisons qui vous ont motivé ?
Cette alternative dispose-t-elle du support de la spécification DNS-over-TLS ?
Voir aussi :
Cloudfare étoffe 1.1.1.1, son offre de service DNS grand public supposé respectueux de la vie privée, d'un résolveur sur le réseau Tor