DNS over TLS (DoT) est un protocole DNS crypté alternatif au DNS over HTTPS (DoH). Là où le DoH traite le trafic DNS comme un flux de données HTTPS supplémentaire sur le port 443, le DoT dédie le port 853 au trafic DNS chiffré et s’exécute directement sur un tunnel TLS sans couche HTTP en dessous. Cela peut entraîner une légère amélioration des performances en fonction de l’environnement réseau au détriment de la flexibilité que les protocoles basés sur HTTPS peuvent fournir.

La prise en charge client pour DoH a été fournie dans Windows 11 et Windows Server 2022. À compter d’aujourd’hui, les dernières versions de Windows Insider offrent également une prise en charge client pour DoT.

Comment évaluer le DNS over TLS sur Windows

Tout d’abord, installez la dernière version de Windows Insider (25158 ou supérieure). La prise en charge du DoT n’est pas encore disponible pour les versions non Insider de Windows.

Ensuite, configurez un résolveur DNS fournissant le DoT en tant que résolveur principal et unique (cela garantira qu’aucun repli accidentel ne couvrira les échecs du DoT). Cela peut être fait en suivant ces étapes :

• Allez dans les Paramètres puis dans les propriétés d’une carte réseau (Wi-Fi ou Ethernet) pour définir l’IP du serveur DoT dans l’option DNS
• Enregistrez et confirmez que « (Unencrypted) » s’affiche sur la ligne « IPv4 DNS servers : » dans la liste des configurations vers le bas de cette vue

Ensuite, dans une invite de ligne de commande élevée, exécutez les commandes suivantes :

netsh dns add global dot=yes
netsh dns add encryption server=<ip-du-serveur-DNS> dothost=: autoupgrade=yes
ipconfig /flushdns

Ces paramètres doivent prendre effet immédiatement sans redémarrage. Les captures de paquets doivent montrer un trafic important sur le port 853 et un trafic minimal sur le port 53

Que vérifier si ça ne marche pas

Si cela entraîne une perte de connectivité Internet, voici quelques éléments à vérifier pour vous assurer qu’aucune étape n’a été manquée. Tout d’abord, vérifiez que la version de Windows prend en charge DoT (DoT n’est pris en charge que sur les versions Insider 25158 ou ultérieures).

Ensuite, exécutez la commande suivante:

netsh dns show global

La sortie doit inclure une ligne indiquant « Paramètres DoT : activé ». Si ce n’est pas le cas, relancez cette commande :

netsh dns add global dot=yes

Ensuite, exécutez cette commande :

netsh dns show encryption

La sortie doit contenir « Paramètres de chiffrement pour » avec un hôte DNS sur TLS, la mise à niveau automatique définie sur oui et le repli UDP défini sur non. Si ce n’est pas le cas, assurez-vous que la commande « netsh dns add encryption » s’est exécutée sans erreur et que les paramètres spécifient correctement les propriétés du résolveur DoT.

Ensuite, examinez la vue de configuration DNS pour voir que l’application Paramètres a configuré le résolveur DNS attendu. Notez que même si DoT fonctionne, le texte indiquera toujours « (Unencrypted) » ; c’est prévu.

Ensuite, vérifiez que le réseau utilisé n’effectue pas le blocage du port 853 et que les résolveurs prennent bien en charge DoT. Les résolveurs publics fournis par AdGuard, Quad9, Cloudflare, Cisco (OpenDNS) et Google ont été testés et sont connus pour fonctionner.

Si DoT ne fonctionne toujours pas, la connectivité peut être restaurée en modifiant les résolveurs configurés ou en redéfinissant la configuration DNS sur automatique pour obtenir la configuration DNS à partir du réseau.