Je “plussoies”, j’utilise dnscrypt sur mon linux depuis plus de 6 mois maintenant. Le plus compliqué est de trouver les plus rapides/fiables parmi la liste d’un peu plus d’une centaine de resolvers fournis. J’ai utilisé l’outil Namebench. Ensuite en 6 mois le serveur que j’ai utilisé est “tombé en panne”. Il faut donc s’attendre à le changer de temps en temps.
Il existe plusieurs solutions recensées sur cette page. DNSCrypt a l’avantage d’être la plus ancienne et de fonctionner et dêtre supportée par Adguard sur Android, ça j’aime bien ! La spécification n’étant pas supportée par l’IETF, je pense qu’elle sera remplacée à terme par DoH, mais pour l’instant DoH ne peut pas être utilisé comme DNS au niveau d’un PC, que dans firefox expérimental et uniquement avec CloudFlare sans mettre les mains dans le cambouis.
La bonne nouvelle c’est que la prochaine version de dnscrypt (https://github.com/jedisct1/dnscrypt-proxy) pourra gérer du dnscrypt ET DoH
Hello,
La bonne nouvelle c’est que la prochaine version de dnscrypt (…) pourra gérer du dnscrypt ET DoH
C’est déjà le cas non ? Pour dnscrypt-proxy de jedisct1 :
Features
- DNS traffic encryption and authentication. Supports DNS-over-HTTPS (DoH) using TLS 1.3, and DNSCrypt.
et que cela soit sur PC, iOS, Android, Linux… partout où tourne dnscrypt-proxy, ce “proxy” permet justement d’utiliser ces technologies de chiffrement pour les requêtes DNS quelque soit le logiciel qui fait une requête…
De plus, dnscrypt-proxy choisit automatiquement le serveur de confiance le plus rapide toutes les 4 heures par défaut… Mais la liste des serveurs est configurable, et le délai aussi.
De plus, Frank Denis, l’auteur de dnscrypt-proxy, propose aussi de se faire son propre serveur DNS sécurisé qui ira interroger directement les serveurs DNS de hauts niveaux si vous n’avez pas confiance dans la communauté (https://github.com/jedisct1/dnscrypt-server-docker ou https://github.com/jedisct1/dnscrypt-proxy/wiki/How-to-setup-your-own-DNSCrypt-server-in-less-than-10-minutes)
*** Attention à ne pas confondre avec le projet “dnscrypt”… j’ai bien parlé de dnscrypt-proxy dans mon post et pas “dnscrypt” 
Cordialement,
Pour ma part j’ai choisi 1.1.1.1 depuis qu’il a été annoncé, je l’ai mis partout, iPhone iPad ordinateur et je ne m’en porte pas plus mal. Seul problème il est impossible de le définir sur la connexion 4G (Sur iPhone). Je me doute que c’est tout à fait possible sous Android.
Oui, je me basais sur la version disponible sur ma Debian Stretch, qui ne l’a pas encore :
$ apt search dnscrypt
En train de trier… Fait
Recherche en texte intégral… Fait
dnscrypt-proxy/stable,now 1.9.4-1 amd64 [installé]
Tool for securing communications between a client and a DNS resolverdnscrypt-proxy-plugins/stable,now 1.9.4-1 amd64 [installé]
Plugins for dnscrypt-proxy
J’ai testé pendant quelques temps 1.1.1.1 sur PC et Mobile, au début pas de problème puis des lags et des ralentissements sévéres sont apparus (entre autre, adobe.com quasiment inacccessible) . Je suis alors revenu vers mon FAI puis 9.9.9.9 pas de problème pour l’instant.
Effectivement, j’ai rencontré le même problème avec Akamai. En voici la cause : https://www.sajalkayan.com/post/cloudflare-1dot1dot1dot1.html
Au cas ou, l’app officielle : https://itunes.apple.com/us/app/1-1-1-1-faster-internet/id1423538627?mt=8
Ne choisir qu’un DNS, c’est un peu comme rentrer dans un “hyper-marché” et ne choisir que de la cacahuète comme base d’alimentation … Le “spécialiste” qui te dis : “Fumes du 8.8.8.8 c’est du bon”, c’est un peu comme le pédophile qui échange à la sortie d’une primaire … Jusqu’à preuve du contraire, certains DNS fournis par nos FAI nationaux sont moins vérolés que ce qu’ont nous propose sur certains sites, qualifiés de spécialistes. Il est bon de savoir qu’une “box” internet qui se respecte, devrait pouvoir être paramétrée sur plusieurs DNS, au cas où … Du coup si la votre ne le permet pas, changez de FAI.
(PS : Z’avez-vu l’exemple du pédophile, comme ça marche bien ? La prochaine fois je prend le terroriste à ceinture explosive pour comparer…)
À noter que cloudfare propose 3 niveaux de résolution :
Le web total avec 1.1.1.1 (1.0.0.1)
Une protection malware 1.1.1.2 (1.0.0.2)
Une protection malware + pr0n 1.1.1.3 (1.0.0.3) pour les titnenfants
Sur quelles bases sérieuses cette affirmation repose-t-elle?
Ce point est vraiment très mineur. Ce n’est pas cela qui permet de distinguer un bon DNS.
D’ailleurs pour mémoire, les serveurs DNS de google sont 8.8.8.8 et 8.8.4.4 (et IPv6 : 2001:4860:4860::8888 et 2001:4860:4860::8844 )
Même si ton FAI ne pourrait pas déchiffrer tes requêtes DNS, il me semble que ton FAI connait tous les sites auxquels tu accèdes, sauf si tu utilises un VPN.
Ce qui renvoie d’ailleurs le problème de confidentialité au niveau du VPN : Quelle confiance accorder à un VPN? [vaste sujet - comment garantir qu’un gouvernement ou qu’une société n’y a pas accès : Mon avis: il n’y a aucune garantie.]
Pour ce qui me concerne, plutôt que la confidentialité du DNS, je me concentre sur la confidentialité globale de tous les PC branchés sur mon réseau local.
De ce point de vue, je trouve prioritaire d’utiliser un filtre DNS comme pi-hole.
Vous n’imaginez pas le débit DNS qui est généré par vos PC/smartphones et heureusement bloqué par pi-hole.
Mes stats actuelles pour deux pc et deux smartphone en 2-3 jours c’est 11.000 requêtes DNS dont 30% ont été bloquées.
Grâce à cela, par blocage des fuites vers les sites de tracking et télémétrie, c’est plein d’informations qui ne fuiront pas vers :
- Microsoft
- Toutes les ads
- Apple
- Amazon
- etc.
Je ne prétends pas être protégé comme avec un vrai DNS + VPN de confiance (qui n’existeront sans doute jamais), mais ça coupe ce débit de tracking à la source.
Historiquement, chez moi,après les DNS du FAI, j’ai utilisé google, puis Cloudflare, OpenDNS, et maintenant j’en suis à OpenNIC paramétré sur le pi-hole qui tourne donc sur mon vieux RaspberryPi.
[EDIT]
Pour mémoire, un tout petit programme Windows (150ko) écrit en assembleur par un passionné chevronné, pour tester vos DNS :
https://www.grc.com/dns/benchmark.htm
Vraiment superbe!
J’aime bien unbound, mais je préfère pi-hole sur un Rpi local, les performances sont très bonnes aussi, et surtout tout le filtrage DNS est fait pour tout ton LAN, à travers une interface efficace, que ce soit pour la config ou les stats.
Je l’ai configuré pour utiliser des serveurs OpenNIC.
Des images qui s’affichent pas non plus dans Flipboard sur mobile?
9.9.9.9 est un plus lent que 1.1.1.1, mais tout s’affiche.