Il existe actuellement de nombreuses options pour la sécurité et la confidentialité des DNS. Vous n'avez plus besoin d'utiliser les DNS de votre FAI ou un DNS non chiffré et vous exposer au piratage de votre DNS, à la surveillance et aux abus de DNS par des tiers (comme à l'hôtel Marriot).
Cependant, avec toutes les excellentes options qui existent (ex : 1.1.1.1.1, 8.8.8.8, 9.9.9.9), viennent de grandes responsabilités. Quel fournisseur choisir ? Quel protocole choisir ? DNSCrypt ? DNS sur HTTPS ou TLS ? Qu'en est-il du DNSSEC ?
J'ai comparé la performance de certains fournisseurs il y a quelques semaines, mais la performance n'est pas la principale caractéristique que vous devriez considérer dans le choix de votre fournisseur DNS. En réalité, lorsque vous comparez la différence de performance entre la plupart des fournisseurs que nous avons testés, les 10-15 ms de différence ne seront pas du tout remarqués par l'utilisateur. La performance est bonne, mais cela n'importe pas en premier.
Si la performance n'est pas la mesure la plus importante, laquelle est-elle ?
Je pense qu'il faut examiner ces trois catégories clés :
1- Confidentialité et sécurité du DNS (chiffrement des données, journalisation, partage avec des tiers)
2- Intégrité de la réponse DNS (support DNSSEC)
3- Besoins de filtrage DNS (restriction des domaines malveillants ou contrôle parental)
4- Performance.
Et choisissez celui qui correspond le mieux à vos besoins. En ce qui me concerne, j'accorde la priorité à la protection de la vie privée et à la sécurité, car c'est tellement important pour moi en ce moment. Donc, je vais commencer par là et choisir un fournisseur qui offre cela. S'il peut ajouter des fonctions supplémentaires, ce n'est que la cerise sur le gâteau.
C'est un article d'opinion, alors corrigez-moi si je me trompe ou si vous n'êtes pas d'accord. J'aime changer d'avis quand j'ai tort.
Confidentialité et sécurité DNS
Tout le monde devrait déjà utiliser le DNS chiffré. Mais très peu de gens le font. Je blâme les systèmes d'exploitation qui ne facilitent pas la commutation et la configuration des DNS. Cependant, dnscrypt-proxy est probablement le meilleur outil pour commencer. Il est open source, facile à installer et supporté pratiquement partout. C'est le meilleur moyen de démarrer avec la confidentialité DNS (et il supporte à la fois DNSCrypt et DNS sur HTTPS).
J'ai même écrit ici un guide rapide sur la façon de commencer à l'utiliser : Mettre fin au piratage DNS avec DNSCrypt.
Pourquoi je le mentionne ? Parce qu'un protocole n'est utile que dans la mesure où le soutien qu'il reçoit de la communauté. Donc, lorsque nous choisirons un protocole, nous en choisirons un que nous pourrons utiliser avec lui.
Faire fonctionner le vôtre
Opinion impopulaire en ce moment. Si vous vous souciez de la confidentialité, n'utilisez pas votre propre résolveur DNS à la maison. Votre FAI pourra voir toutes les requêtes entre votre résolveur et les serveurs faisant autorité, car il n'y a aucun moyen de chiffrer cette communication. Pour les plus paranoïaques (et techniques), je recommanderais d'exécuter un résolveur DNS dans le nuage avec DNSCrypt ou DOH et d'utiliser plutôt cela.
DNS Confidentialité avec : DNS sur HTTPS (DoH)
DNS sur HTTPS est mon premier choix pour la confidentialité DNS. Il s'agit d'un protocole assez nouveau, mais il bénéficie d'un large soutien et, à mon avis, c'est l'avenir du DNS. C'est le protocole le plus difficile à bloquer et à suivre, car il altère le trafic HTTPS. Et c'est aussi assez simple à mettre en œuvre et à tester.
Je m'attends à ce que tous les principaux fournisseurs le supportent prochainement (Firefox est livré avec DNS sur HTTPS dans leur prochaine version).
Quels choix vous avez :
- Google 8.8.8.8 - Anycast* DNS, non filtré. Utilisé par 12% du web, 8.8.8.8. est le leader du DNS.
- CloudFlare's 1.1.1.1 - Anycast DNS, non filtré. Nouveau joueur avec de bonnes performances. Je considère CloudFlare et Google au même niveau, avec les mêmes options et le même support.
- CleanBrowsing - anycast DNS, restreint le contenu adulte - pour le contrôle parental. Très bonne performance, mais pour un créneau spécifique.
Ces 3 sont les seuls fournisseurs soutenant DoH en ce moment que j'ai pu trouver (ndlr : Quad9 supporte aussi le DoH). Tous les 3 ne suivent pas vos demandes, ne supportent pas DNSSEC et ont de bonnes promesses de confidentialité. Oui, même Google promet de ne pas suivre vos demandes ou de ne pas stocker vos données identifiables lors de l'utilisation de son DNS.
Selon vos besoins, je choisirais l'un des trois ci-dessus.
* anycast : technique d'adressage et de routage.
Confidentialité des DNS avec DNSCrypt :
DNSCrypt vient en deuxième position après DNS sur HTTPS. Le protocole est le plus ancien et est supporté par dnscrypt-proxy. Bon nombre de fournisseurs l'offrent et d'autres promettent de l'ajouter.
Nos choix :
- OpenDNS - Anycast DNS, non filtré ou avec une option de contrôle parental. OpenDNS a été le premier DNS libre et ouvert, mais perd du terrain par rapport aux nouveaux joueurs (Google, Quad9, CloudFlare) et au filtre familial (pour CleanBrowsing). Contre : Ne supporte pas DNSSEC.
- OpenNIC - OpenNIC est un DNS distribué géré par de nombreux passionnés de confidentialité. Certains serveurs supportent DNSCrypt, ce qui est une excellente option. Contre : Vous ne savez pas vraiment qui exécute ces serveurs et s'ils sont fidèles à leur promesse de ne pas se connecter et de ne pas vous suivre.
- AdGuard - Blocage d'annonces. Manque de performance, mais a une bonne communauté qui aime ce qu'elle offre. Niche spécifique.
- Comodo - Anycast DNS, bloque les domaines malveillants. Contre : La façon dont ils gèrent l'enregistrement et les données DNS n'est pas claire. Aucun support pour DNSSEC.
- Yandex - DNS réservé à la Russie, non filtré, avec une option pour bloquer les domaines malveillants ou avec une option de contrôle parental. Contre : très lent en dehors de la Russie et peu clair comment ils traitent les données DNS.
Il y a ici une liste complète de fournisseurs qui supportent DNSCrypt.
DNS Confidentialité avec : DNS sur TLS
La dernière option dans ma liste est DNS sur TLS. Le protocole est excellent, en fait, il devrait être plus rapide que le DNS sur HTTPS car il réduit la charge du protocole HTTPS. Cependant, il n'a pas encore un très bon support utilisateur, alors j'ai mis la performance au second plan. Cela pourrait changer bientôt avec l'ajout de la prise en charge d'Android. Mais jusqu'à présent, c'est mon dernier choix.
Les options qui s'offrent à nous :
- Quad9 : Quad9 est un fournisseur que j'utilise et qui me plaît beaucoup. Il bloque l'accès aux domaines malveillants et ils semblent s'en être plutôt bien tirés. Prend en charge DNSSEC et a de bonnes performances et concurrence CloudFlare et Google + a les avantages de bloquer les domaines malveillants. Contre : Il ne supporte ni DoH (ndrl : il le supporte désormais voir note plus haut) ni DNSCrypt, ce qui le rend plus difficile à utiliser en toute sécurité.
Et c'est tout ce que j'ai à dire. J'espère avoir été en mesure de fournir des éclaircissements sur les fournisseurs et les options disponibles. Choisissez avec soin, faites vos propres recherches et faites-moi savoir via les commentaires si j'ai fait une erreur. Si j'ai oublié un fournisseur, je suis désolé, faites-moi savoir que je l'ajouterai plus tard.
Par : nykolas.z
sauce :
https://medium.com/@nykolas.z/dns-security-and-privacy-choosing-the-right-provider-61fc6d54b986