Configurer le DNS-over-QUIC (DoQ)
DNS chiffré nouvelle génération avec QUIC
Le DNS-over-QUIC (RFC 9250) est le protocole DNS chiffré le plus récent. Il fait transiter le DNS via le transport QUIC — le même protocole qui propulse HTTP/3 — plutôt que TCP. Résultat : établissement de connexion plus rapide, meilleure gestion des pertes de paquets, et changement de réseau transparent (par exemple, passer du Wi-Fi aux données mobiles sans se reconnecter).
le_dns est l’un des rares résolveurs publics à supporter le DoQ en production.
Endpoint DoQ de le_dns : quic://ledns.eu:8853
Pourquoi le DoQ ?
| Protocole | Transport | Établissement | Perte de paquets |
|---|---|---|---|
| DoT | TCP + TLS | 2-RTT | Blocage en tête de ligne |
| DoH | TCP + TLS + HTTP/2 | 2-RTT | Blocage en tête de ligne |
| DoQ | QUIC | 0-RTT / 1-RTT | Par flux, sans blocage |
Pour les utilisateurs mobiles qui changent fréquemment de réseau, la migration de connexion de DoQ signifie que les requêtes continuent de s’écouler sans renégocier la connexion.
dnscrypt-proxy
dnscrypt-proxy est le client DoQ le plus largement supporté et fonctionne sur Linux, macOS et Windows :
# macOS (Homebrew)
brew install dnscrypt-proxy
# Debian/Ubuntu
sudo apt install dnscrypt-proxy
Ajoutez le_dns comme serveur statique dans /etc/dnscrypt-proxy/dnscrypt-proxy.toml :
server_names = ['ledns-doq']
[static]
[static.ledns-doq]
stamp = 'sdns://BAcAAAAAAAAAEzE1MS4xMTUuODAuMTY1Ojg4NTMLbGVkbnMuZXU'
Puis définissez votre DNS système sur 127.0.0.1 et démarrez le proxy :
sudo systemctl enable --now dnscrypt-proxy
q (client DNS en ligne de commande)
q est un client DNS moderne qui supporte le DoQ nativement — idéal pour les tests :
# macOS (Homebrew)
brew install nicowillis/tools/q
# Ou depuis les sources : https://github.com/natesales/q
q @quic://ledns.eu:8853 example.com A
Une réponse réussie confirme que le DoQ fonctionne de bout en bout.
kdig (Knot DNS)
kdig du projet Knot DNS supporte le DoQ avec le flag +quic :
# macOS
brew install knot
# Debian/Ubuntu
sudo apt install knot-dnsutils
kdig @ledns.eu +quic example.com
Note de compatibilité
Le DoQ est un protocole récent et le support client est encore en cours de rattrapage. Si votre plateforme ou routeur ne le supporte pas encore, le DoT et le DoH offrent une confidentialité équivalente avec un support plus large. Les trois protocoles chiffrent vos requêtes de bout en bout — le DoQ le fait simplement avec moins de surcharge.
Le DoQ utilise le port 8853, qui peut être bloqué par certains pare-feu. Dans ce cas, repliez-vous sur le DoH via le port 443.