Configurer le DNS-over-HTTPS (DoH)
Chiffrez vos requêtes DNS via HTTPS
Le DNS-over-HTTPS enveloppe vos requêtes DNS dans du trafic HTTPS ordinaire. De l’extérieur, ça ressemble exactement au chargement d’une page web — impossible à distinguer ou à bloquer sans casser tout HTTPS. C’est l’option DNS chiffré la plus résistante qui existe.
Firefox
Firefox intègre nativement le DoH avec la possibilité de choisir un fournisseur personnalisé :
- Ouvrez Paramètres → Vie privée et sécurité
- Faites défiler jusqu’à DNS over HTTPS
- Sélectionnez Protection maximale
- Choisissez Personnalisé dans le menu déroulant du fournisseur
- Saisissez :
https://ledns.eu/dns-query - Cliquez sur Enregistrer les modifications
Firefox acheminera désormais toutes les requêtes DNS via le_dns en HTTPS.
Chrome / Chromium
- Ouvrez Paramètres → Confidentialité et sécurité → Sécurité
- Faites défiler jusqu’à Utiliser un DNS sécurisé
- Activez-le et sélectionnez Avec un fournisseur personnalisé
- Saisissez :
https://ledns.eu/dns-query
Chrome applique cela à toutes les résolutions DNS dans le navigateur, y compris pour les extensions et les requêtes en arrière-plan.
Edge
Microsoft Edge suit le même schéma que Chrome :
- Ouvrez Paramètres → Confidentialité, recherche et services
- Faites défiler jusqu’à Sécurité
- Activez Utiliser le DNS sécurisé pour spécifier comment rechercher l’adresse réseau des sites web
- Sélectionnez Choisir un fournisseur de services
- Saisissez :
https://ledns.eu/dns-query
Windows 11
Windows 11 supporte le DoH à l’échelle du système nativement, donc chaque application en bénéficie — pas seulement votre navigateur. Consultez le guide de configuration Windows pour les instructions pas à pas.
macOS / iOS
macOS et iOS utilisent des profils de configuration DNS (fichiers .mobileconfig) pour appliquer le DoH au niveau système. Vous pouvez en créer un au format profil Apple avec le type DNSSettings HTTPS et l’URL https://ledns.eu/dns-query, puis l’installer via Réglages Système → Confidentialité et sécurité → Profils (macOS) ou Réglages → Général → VPN et gestion des appareils (iOS).
Linux (systemd-resolved)
systemd-resolved ne supporte pas nativement le DoH — il supporte le DoT mais pas le DNS via HTTPS. Pour le DoH sur Linux, l’approche la plus directe est un proxy local qui transfère les requêtes en amont :
Avec dnscrypt-proxy :
# Installation (Debian/Ubuntu)
sudo apt install dnscrypt-proxy
# Éditez /etc/dnscrypt-proxy/dnscrypt-proxy.toml
[sources]
# Commentez ou supprimez le bloc sources par défaut
[static]
[static.ledns]
stamp = 'sdns://AgcAAAAAAAAADTUxLjc1Ljk2LjgyC2xlZG5zLmV1Cgov...'
Ou configurez-le pour transférer directement :
# /etc/dnscrypt-proxy/dnscrypt-proxy.toml
listen_addresses = ['127.0.0.1:53']
server_names = ['ledns']
[static]
[static.ledns]
stamp = 'sdns://...' # utilisez le stamp ledns
Puis définissez 127.0.0.1 comme résolveur système.
Avec cloudflared comme proxy de transfert :
cloudflared proxy-dns --upstream https://ledns.eu/dns-query --port 5053
Puis pointez votre DNS système vers 127.0.0.1:5053.
Si vous utilisez déjà systemd-resolved et préférez une configuration plus simple, envisagez le DoT — il est supporté nativement.
DoH3 (HTTP/3 via QUIC)
le_dns supporte aussi le DoH via HTTP/3 pour une latence encore plus faible. HTTP/3 utilise le protocole de transport QUIC, qui élimine la surcharge de connexion TCP et gère mieux les pertes de paquets.
Endpoint : h3://ledns.eu/dns-query
Le support navigateur pour le DoH HTTP/3 est limité — la plupart utilisent le HTTPS standard (HTTP/2). Les clients comme dnscrypt-proxy peuvent être configurés pour préférer H3.
Vérifier que ça fonctionne
curl -s -H 'accept: application/dns-json' \
'https://ledns.eu/dns-query?name=example.com&type=A'
Vous devriez obtenir une réponse JSON avec un tableau Answer contenant un enregistrement A pour example.com. Si c’est le cas, le_dns gère bien vos requêtes via HTTPS.
Pour un test de fuite complet, visitez dnsleaktest.com et confirmez que les serveurs DNS affichés sont bien ceux de le_dns.