J'ai trouvé l'option permettant d'activer le DNS sur HTTPS pour Firefox sur le bureau mais je ne la trouve pas sur la version Android du navigateur. Cette option est-elle prise en charge ? Comment puis-je l'activer ?
Réponses
Trop de publicités?
Zen
Points
181
J'essaie de compléter la réponse de Dale
-
Ouvrez Firefox et tapez :
about:config -
filtre avec :
network.trr.*et définissez les valeurs suivantes :network.trr.modevaleur3network.trr.bootstrapAddresset définir la valeur d'une ip de ce page (la valeur de la mine est actuellement104.16.249.249) -
Maintenant, ouvrez un nouvel onglet pour cela page utilisé pour vérifier si tout fonctionne. Vous devriez avoir tout le vert sauf
sni. Pour faire tout le vert, vous devez -
changer d'onglet et revenir à la page de configuration
-
changer le filtre avec :
network.security.*et régler :network.security.esni.enabledvaleurtrue -
revenir à l'onglet précédent et rafraîchir. Vous devriez avoir tout le vert.
crédits/références :
-
Réponse de Dale
Dale
Points
413
Bien que je n'aie pas pu prouver que cela modifie réellement le routage des requêtes DNS, j'ai modifié les paramètres de Firefox pour Android : network.trr.mode à 2 (basculement activé) ou 3 (le basculement n'est pas activé) et network.trr.uri à 1.1.1.1 (Cloudflare) ou 8.8.8.8 (Google) ou 9.9.9.9 (Quad9). Ceci provient de cette page de Mozilla (non spécifique à Android Firefox). Vous tapez donc about:config dans la barre d'adresse, puis recherchez et modifiez l'adresse de l'utilisateur. network.trr* paramètres.
Mais comme l'a mentionné Irfan, vous pouvez faire en sorte que tous vos DNS aillent vers cloudflare en utilisant leur application 1.1.1.1 ou si vous êtes sur Android Pie, vous pouvez aller sur Settings > Network & Internet > Private DNS et sélectionnez Automatic (Je suis sûr que c'est le 9.9.9.9.9 de Google) ou Private DNS provider hostname con 1dot1dot1dot1.cloudflare-dns.com par exemple (crédit à cette page sur TechRepublic ).
Just Khaithang
Points
171
Les choses ont changé depuis l'époque où la plupart des réponses ont été écrites, voici donc une version actualisée :
- Le précédent TRR (Trusted recursive resolver ) ne chiffrait que le SNI (server name indication), ce qui s'est avéré insuffisant pour masquer vos requêtes DNS. Il a été démontré que les requêtes DNS, en particulier le SNI, peuvent toujours être divulguées. Un nouveau projet a donc été proposé, qui suggère de crypter l'intégralité du message "Client Hello". Ce nouveau projet (initialement appelé projet 8) est désormais appelé ECH (encrypted client Hello). Il est toujours en cours de développement et aucun navigateur ne l'a encore mis en production. Cette version améliorée nécessiterait que tous les serveurs DNS la mettent en œuvre pour qu'elle fonctionne correctement. Et à ce jour, peu d'entre eux (aucun, je pense) l'ont mis en place. Pendant ce temps, Firefox a supprimé Encrypt SNI depuis la version 85. Il sera remplacé par ECH dans un avenir proche.
Il est toutefois possible d'activer DoH (DNS over HTTPS) ou TRR (Trusted Recursive Resolver), comme l'appelle Mozilla.
Depuis la version nocturne de firefox, allez à about:config
puis tourner network.trr.mode à 2 ou 3 selon que vous souhaitez faire échouer la demande si TRR ne parvient pas à résoudre l'adresse ou utiliser un défaut de repli (votre FAI) comme résolveur.
firefox a défini le 1.1.1.1 de cloudflare comme TRR par défaut, vous n'avez donc rien à changer.
En l'absence d'un SNI crypté, il ne sera pas aussi sûr mais pourra tout de même accéder à certains sites bloqués par le DNS car la plupart des FAI n'ont pas encore les moyens de le découvrir. Certains fournisseurs d'accès disposant de moyens avancés d'inspection approfondie des paquets (DPI) seraient toutefois en mesure de le détecter.
