Comment activer les DNS chiffrés (DNS-over-HTTPS) dans Firefox?

Publié initialement à : https://korben.info/comment-activer-les-dns-via-https-dans-firefox.html

Je vous ai parlé des DNS chiffrés et de leur intérêt dans un article précédent, du coup pourquoi ne pas vous partager ce petit tuto trouvé sur Zdnet et dédié au navigateur Firefox. Le seul à gérer les DNS via HTTPS (DNS-over-HTTPS ou DoH) pour l’instant … mais pas par défaut. Il va donc falloir…

1 J'aime

Merci ! Une idée pour tester si on passe bien les requêtes DNS en chiffré ?

Je ne trouve pas les options de la méthode 1 sur la version mobile de Firefox, par contre la méthode 2 semble OK.
niveau filtrage je vois bien comment ça marche, par contre niveau confidentialité je ne vois pas ce que ça change, le FAI voit bien les trames aller et venir entre nous et le site internet non? Il ne sait pas ce qui passe mais il sait que ça communique entre les deux, il sait que j’ai surfé pendant 1h sur une ip d’un site de film de vacances par exemple.

Utilisant Firefox 60.8.0esr sous windows, quelques options sont bloqués…

  • Pour la Méthode 1, dans about:preferences \Proxy Réseau\Paramètres\ la case “Activer le DNS via HTTPS” ne semble pas apparaitre
  • Pour la méthode 2, dans about:config, aucunes option de network.security n’apparait, me bloquant pour chiffrer le SNI
  • Lorsque je fait le test “ESNI Checker” chez Cloudfare, je vois que je n’utilise pas le TLS 1.3, alors que l’option “security.tls.version.max” est bien à 4

Je pense donc que sur les versions esr de firefox, les options se cachent ailleurs :slight_smile:
++

@Dumbarr : J’ai vu chez Quad9 que c’était valable à partir de la version 62.

edit : et c’est indiqué dans l’article de Korben aussi …

1 J'aime

Génial !!! Merci pour l’indice :slight_smile:
En faisant “à propos de Firefox”, celui ci m’indiquait “Firefox est à jour”… en vers. 60.8esr !!!
=> un petit téléchargement manuel, et après installation de la vers. 68.0esr le pb TLS est corrigé

Pour l’Encrypted SNI, je ne sais pas…
car si j’active network.security.esni.enabled je n’est plus accès à CloudFlare :crazy_face:

Si je passe en False, j’ai de nouveaux accès, mais alors avec l’indication “did not encrypt the SNI” ce qui est normal :boom:

Maj j+1: Maintenant avec le network.security.esni.enabled en True, CloudFlare est accessible et m’indique … Your browser encrypted the SNI when visiting this page :partying_face:

Là où ça améliore la sécurité c’est quand tu navigues sur des sites hébergés chez Amazon/Google/Cloudflare etc…
Où les addresses IP sont partagées entre plusieurs sites web. Telegram aurait par example eu moins de soucis à évader le blockage Russe si le DNS-over-HTTPS était la norme: https://www.fastcompany.com/40568177/amazon-and-google-bow-to-russian-censors-in-telegram-battle