Il semblerait que malgré DoT ou DoH, le nom des sites que vous consultez ne fuite à cause du SNI. Un nouveau protocole est en cours de standardisation pour combler ce manque.
Des infos sur les différents types de DNS privés qui existent (essentiellement DoT et DoH).
En complément, Sebsauvage a compilé une excellente liste de résolveurs alternatifs avec leur support de DoH ou DoT.
Les serveur DNS ouverts de Mullvad.
La cérémonie de signature de clé de la zone racine fait des serveurs de noms DNS racine une ancre de confiance. Au lieu de partir d'une confiance dérivée d'une zone parentale, la confiance est supposée. Toute cette cérémonie est conçue pour renforcer cette confiance. Il s'agit d'un aspect très humain de la sécurisation de l'Internet : la raison pour laquelle vous pouvez faire confiance aux serveurs DNS racine tient à la confiance que vous avez dans les personnes qui les signent. Et si vous pouvez faire confiance aux personnes qui le signent, c'est parce que les protocoles qu'elles suivent pour le faire sont très stricts. C'est pour cela qu'existe la cérémonie de signature de clé de la zone racine.
Sous le coude, quelques serveurs DNS DoH/DoT.
Ouverture des services DNS over TLS (DoT) et DNS over HTTPS (DoH) de FDN.
La gestion DNS de Node.js peut poser des soucis si vous développez une application qui contact de nombreux domaines différents en peu de temps.
Cet article explique le souci et propose quelques solutions.
Le fournisseur de VPN utilisé par Mozilla dispose de serveur DNS over HTTPS et TLS.
Un topo sur les DNS alternatifs.
Quelques services open-source gratuits (DNS, Instance Mastodon, Notepad chiffré, Trashmail, etc.).
Un tuto de Sebsauvage pour configurer DNSFilter sur Android. Ça fonctionne comme DNS66 ou Blokada (mais c'est beaucoup plus léger). Ça créé un VPN local qui permet de filtrer le trafic sur base de noms de domaines à exclure.
Très pratique pour bloquer la pub à l'échelle de tout le système !
Je ne savais pas que CloudFlare avait une app pour forcer le traffic DNS vers leur serveur DNS (1.1.1.1). Il semblerait qu'il vont ajouter un VPN en plus. Ils s'expliquent assez longuement sur le fait qu'ils ne revendront pas les données, etc, etc. mais comme d'hab c'est difficile de faire confiance aveuglément.
Pensez à vérifier que vos sites respectent la norme EDNS !
Liste de blocage DNS qui permet de bloquer la pub en modifiant le fichier hosts de votre système.
Seb a compilé un fichier agrégeant plusieurs sources : https://sebsauvage.net/hosts/hosts
Une liste de serveurs DNS alternatifs regroupée par SebSauvage, merci !
Des avis sur la question ? Potentiellement un moyen simple de bloquer les traqueurs et la pub sur tout système permettant de configurer le DNS. Bon par contre ça reste une black-box...
Les IPs sont les suivantes :
Et pour utiliser la fonction DNS privé d'Android 9, vous devez utiliser le domaine dns.adguard.com.