← retour à l'accueil EN

Configurer le DNS-over-TLS (DoT)

Canal DNS dédié et chiffré

Le DNS-over-TLS fait transiter le DNS par un canal TLS dédié et chiffré sur le port 853. Contrairement au DoH, il utilise son propre port plutôt que de se fondre dans le trafic HTTPS — ce qui le rend plus facilement identifiable (et éventuellement bloquable) par les outils réseau, mais aussi plus simple à configurer au niveau système sans proxy.

Endpoint DoT de le_dns : ledns.eu port 853

Android 9+ (DNS Privé)

La fonctionnalité « DNS Privé » d’Android utilise en réalité le DoT. C’est la configuration la plus simple de toutes les plateformes :

  1. Ouvrez ParamètresRéseau et Internet
  2. Appuyez sur DNS Privé
  3. Sélectionnez Nom d’hôte du fournisseur de DNS Privé
  4. Saisissez : ledns.eu
  5. Appuyez sur Enregistrer

C’est tout. Android chiffrера automatiquement toutes les requêtes DNS vers le_dns via TLS. Le réglage s’applique à l’ensemble du système, couvrant chaque application de votre appareil.

Linux (systemd-resolved)

systemd-resolved supporte nativement le DoT depuis la version 237 :

  1. Éditez /etc/systemd/resolved.conf :
[Resolve]
DNS=51.75.96.82#ledns.eu 51.89.95.33#ledns.eu
DNSOverTLS=yes
  1. Redémarrez le résolveur :
sudo systemctl restart systemd-resolved
  1. Vérifiez :
resolvectl status

Repérez DNS over TLS: yes dans la sortie. Le suffixe #ledns.eu après chaque IP indique à systemd-resolved quel nom d’hôte vérifier dans le certificat TLS.

macOS / Linux (Stubby)

Stubby est un client DoT autonome et léger, maintenu par le DNS Privacy Project :

# macOS (Homebrew)
brew install stubby

# Debian/Ubuntu
sudo apt install stubby

Éditez /etc/stubby/stubby.yml (ou /usr/local/etc/stubby/stubby.yml sur macOS) :

resolution_type: GETDNS_RESOLUTION_STUB
dns_transport_list:
  - GETDNS_TRANSPORT_TLS
tls_authentication: GETDNS_AUTHENTICATION_REQUIRED
listen_addresses:
  - 127.0.0.1
  - 0::1
upstream_recursive_servers:
  - address_data: 51.75.96.82
    tls_auth_name: "ledns.eu"
  - address_data: 51.89.95.33
    tls_auth_name: "ledns.eu"

Puis définissez votre DNS système sur 127.0.0.1 et démarrez stubby :

sudo systemctl enable --now stubby

Vérifier que ça fonctionne

Si vous avez BIND 9.18+ ou une version de dig avec support TLS :

dig +tls @ledns.eu example.com

Une réponse réussie confirme que le_dns répond bien en TLS. Vous pouvez aussi exécuter :

openssl s_client -connect ledns.eu:853 </dev/null 2>/dev/null | grep subject

Cela vérifie que le certificat TLS du port 853 est valide et correspond à ledns.eu.

Remarque sur les pare-feu

Le DoT utilise le port 853, qui est non standard et peut être bloqué par des réseaux restrictifs (pare-feu d’entreprise, Wi-Fi d’hôtel, certains FAI). Si le DoT ne fonctionne pas dans un environnement donné, le DoH est le meilleur repli — il utilise le port 443, indiscernable du trafic HTTPS ordinaire.