DNS over HTTPS - alias DoH - est un protocole pour la résolution DNS (Domain Name System) via le protocole sécurisé HTTPS pour les échanges des données. Il s'agit ainsi de chiffrer les requêtes DNS envoyées qui permettent de faire la correspondance entre une adresse IP et un nom de domaine lors d'une navigation web.
Ce chiffrement du trafic DNS, entre le client DNS et le résolveur DNS basé sur DoH, a pour but d'améliorer la sécurité contre l'espionnage et des attaques de type man-in-the-middle avec la manipulation de données DNS susceptible d'aiguiller vers des sites web piégés.
Poussé par Mozilla et Google, DoH répond à une problématique de renforcement de la confidentialité et pourrait également améliorer les performances au niveau des temps de réponse dans un Web où le chargement d'une page peut demander de nombreuses résolutions DNS.
Microsoft a fait part de son intention d'adopter DNS over HTTPS dans le client DNS de Windows. " La prise en charge des requêtes DNS chiffrées dans Windows fermera l'une des dernières transmissions de noms de domaine en clair restantes dans le trafic web usuel. "
Pour ce support, Microsoft reconnaît qu'il y aura des difficultés d'adaptation et estime par ailleurs que pour que le DNS demeure décentralisé, il sera important que " les systèmes d'exploitation clients comme Windows et les fournisseurs d'accès à Internet adoptent largement le chiffrement DNS. "
L'implémentation de DoH dans Windows 10 - avec un test auprès des Windows Insiders - débutera avec l'utilisation des serveurs DNS déjà configurés pour une utilisation. " Il existe désormais plusieurs serveurs DNS publics prenant en charge DoH et si un utilisateur de Windows ou l'administrateur d'un appareil configure l'un d'eux, Windows utilisera simplement le DNS classique (sans chiffrement) sur ce serveur. Cependant, comme ces serveurs et leurs configurations DoH sont bien connus, Windows peut passer automatiquement à DoH tout en utilisant le même serveur ", explique Microsoft.
C'est une approche qui ressemble à l'expérimentation menée par Google avec Chrome auprès de quelques utilisateurs, sans modifier le fournisseur DNS sur le système. Avec son expérimentation pour Firefox, Mozilla s'appuie sur les résolveurs de Cloudflare compatibles avec la résolution DNS via le protocole HTTPS.
Il est à souligner que Microsoft précise être ouvert à d'autres options que DNS over HTTPS comme DNS over TLS (DoT) à l'avenir. " Pour le moment, nous donnons la priorité au support DoH comme étant le plus susceptible d'apporter une valeur immédiate à tout le monde. Par exemple, DoH nous permet de réutiliser notre infrastructure HTTPS existante. "
Avec DNS over HTTPS, c'est le port standard pour le trafic HTTPS qui est utilisé et il devient très complexe de faire une distinction avec le trafic HTTPS habituel. Pour DNS over TLS, c'est un port TCP dédié.
