Configurer le DNS-over-HTTPS dans Firefox par GPO

I. Présentation

Dans ce tutoriel, nous allons voir comment activer, désactiver et configurer le DNS over HTTPS (DoH) dans Mozilla Firefox, grâce à une GPO (stratégie de groupe).

Précédemment, je vous ai expliqué comment gérer le DoH dans Chrome : aujourd'hui, on va s'intéresser au cas de Firefox. Comme je le disais dans mon précédent article, il me semble intéressant de prendre le contrôle de la fonctionnalité DoH en entreprise pour garder la main sur le filtrage DNS.

La norme DNS-over-HTTPS est intéressante pour renforcer la vie privée des utilisateurs sur Internet, mais aussi pour chiffrer les trames DNS. Néanmoins, cela peut poser problème en entreprise puisqu'il devient plus difficile de réaliser du filtrage DNS avec un firewall : les trames DNS sont chiffrées et encapsulées dans du trafic HTTPS.

🎥 Vidéo complète sur le DNS over HTTPS : de la théorie à la pratique avec la configuration des navigateurs et une démo sous Windows 10 avec une rapide analyse de trames.

II. Gérer le DNS-over-HTTPS par GPO dans Firefox

Pour commencer, soit vous créez une nouvelle GPO ou vous utilisez une GPO existante, c'est au choix. Cela n'a pas d'importance de mon point de vue.

Quant à la configuration du DNS-over-HTTPS par GPO, on peut appliquer les paramètres au niveau ordinateur ou utilisateur, comme avec Google Chrome. Mozilla propose 4 paramètres différents pour gérer le DoH dans Firefox, ils sont disponibles à l'emplacement suivant :

Configuration utilisateur / configuration ordinateur > Modèles d'administration > Mozilla > Firefox > DNS sur HTTPS

Tout simplement, on peut activer ou désactiver le DoH en configurant le paramètre nommé "Activé" (oui, le nom n'est pas très explicite...). Si le paramètre "Activé" est positionné sur "Désactivé" alors le DoH sera désactivé dans Firefox.

Si en revanche vous décidez d'activer le paramètre précédent, sachez que le paramètre "Provider URL" permettra de forcer l'adresse du résolveur DoH que vous souhaitez utiliser. Par exemple avec le résolveur de chez Quad9 :

Enfin, s'il y a des domaines pour lesquels vous ne souhaitez pas utiliser le DoH, le paramètre "Domaines exclus" devra être activé. Ce paramètre permet de gérer une liste de domaines à exclure.

Que vous décidiez d'activer ou non le DNS-over-HTTPS dans Firefox, je vous recommande d'activer le paramètre "Bloqué" : cela va figer la configuration. Sinon, l'utilisateur pourra la modifier. Un petit détail à prendre en considération.

Sur un poste client, si l'on active le DoH dans Firefox, que l'on configure le résolveur de Quad9 et que l'on bloque les modifications de la configuration, voici ce que ça donne :

Firefox : DoH géré par GPO
Firefox : DoH géré par GPO

 

Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Partager sur Google+ Envoyer par mail

Florian Burnel

Ingénieur système et réseau et cofondateur d'IT-Connect. Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.

florian has 3208 posts and counting.See all posts by florian

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

 

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.