Nous sommes fiers d'annoncer que DNS-over-QUIC, un protocole très prometteur, est devenu une norme. Nous pensons que DNS-over-QUIC est meilleur que les autres alternatives populaires (DNS-over-HTTPS, DNS-over-TLS) et a le potentiel de remplacer complètement les anciens protocoles DNS non cryptés. Mais chaque chose en son temps.

L'histoire de DNS-over-QUIC

DNS-over-QUIC (abrégé en DoQ) est un protocole relativement nouveau pour la transmission des requêtes DNS : ce n'est qu'en mai 2022 qu'il est devenu une norme. À titre de comparaison, DNS-over-TLS a été normalisé en 2016 et DNScrypt en 2011.

Il y a environ un an et demi, AdGuard DNS est devenu le premier résolveur DNS public à prendre en charge le nouveau protocole DoQ. À l'époque, la norme DoQ était encore à l'état de projet : il s'agissait d'une expérience, pas encore prête à être utilisée partout.

Et finalement, en mi-mai de cette année, la situation a changé : DNS-over-QUIC a été publié en tant que RFC (Request for Comments, un document qui décrit des protocoles, des méthodes, des programmes ou des recherches en ligne applicables à l'Internet), a reçu le numéro 9250 et doit depuis lors être traité comme une proposition de norme. Ce RFC a encore un long chemin à parcourir avant de devenir une norme Internet, mais d'ores et déjà, le DNS sur QUIC s'est révélé suffisamment stable et a reçu suffisamment d'avis de la communauté pour être mis en œuvre dans le monde entier.

Mais d'abord, parlons de ce qu'est DNS-over-QUIC et pourquoi il est meilleur que les autres versions.

Pourquoi le DNS-over-QUIC en vaut-il la peine ?

Nous avons déjà écrit sur ce qu'est DNS-over QUIC. Si vous êtes impatient de plonger dans les détails, vous pouvez d'abord lire cet article. En bref, le DNS sur QUIC est un protocole DNS qui utilise le protocole de couche de transport QUIC pour transmettre les requêtes DNS.

TCP data packet transmission scheme

QUIC data packet transmission scheme

Par rapport à un autre protocole extrêmement populaire, le TCP, QUIC est plus rapide, plus fiable et offre plus d'options de cryptage. Et le DNS-over-QUIC hérite de tous ses avantages.

En bref, voici les principaux avantages de DNS-over-QUIC :

1. Il crypte le trafic DNS. Personne d'autre que vous ne peut voir les sites web que vous visitez.
2. QUIC est conçu pour résoudre le problème du "head-of-line-blocking", c'est-à-dire qu'il fonctionnera mieux dans les réseaux avec un taux élevé de perte de paquets (pensez aux données mobiles dans les ascenseurs ou les tunnels).
3. La norme QUIC prend en charge la "migration des connexions". Lorsque vous quittez votre domicile et que votre téléphone passe du Wi-Fi au réseau mobile, la connexion QUIC, contrairement aux autres connexions, ne s'interrompt pas. Malheureusement, cette fonctionnalité n'a pas encore été mise en œuvre, mais nous espérons que la situation changera bientôt.
4. QUIC vous permet d'établir une connexion réseau beaucoup plus rapidement. Comme pour la "migration de connexion", c'est particulièrement utile lorsque vous êtes en déplacement. Avec l'implémentation de DNS-over-QUIC, la connexion est établie deux fois plus vite qu'avec DNS-over-TLS.

Comment la norme a-t-elle changé par rapport aux projets ?

DNS-over-QUIC peut maintenant être utilisé non seulement pour les serveurs DNS récursifs (comme AdGuard DNS), mais aussi pour les serveurs autoritaires. À long terme, cela permettra de chiffrer non seulement le trafic du client (votre ordinateur ou votre téléphone) vers le serveur récursif, mais aussi tout le trafic DNS en général. En d'autres termes, contrairement au DNS-over-HTTPS, DoQ est un protocole plus complet qui peut couvrir entièrement les situations où le protocole non crypté était précédemment utilisé.

Qu'est ce qui a changé pour AdGuard?

De nombreux logiciels AdGuard prennent en charge DoQ depuis un certain temps déjà, mais nous aimerions souligner quelques points :

1. AdGuard DNS prend désormais entièrement en charge la norme. Les versions "provisoires" continueront à être prises en charge également.
2. Quant à AdGuard Home, il a déjà adopté la nouvelle norme !
3. Toutes nos applications passeront également à la norme ; la marque "expérimental" sera finalement supprimée de l'interface. Dans les prochaines versions, nous prévoyons d'implémenter DoQ comme protocole par défaut (au lieu de DNS-over-HTTPS qui est notre choix par défaut pour le moment).

La quasi-totalité de nos développements liés à DoQ sont accessibles au public. Nous les maintenons et les mettons à jour régulièrement. Voici quelques-uns d'entre eux :

• dnslookup est un utilitaire de base pour effectuer des requêtes DNS. Il supporte tous les protocoles modernes populaires : DoH, DoT, DNSCrypt, et, bien sûr, DoQ.
• Avec AdGuard Home, vous pouvez configurer votre propre serveur DoQ. Si vous exécutez AdGuard Home comme un serveur public, vous pouvez configurer encryption sur celui-ci.
• dnsproxy est un simple serveur proxy DNS avec le support de DoH, DoT, DoQ et DNSCrypt.
• DNSLibs est une bibliothèque C++ que nous utilisons dans nos produits AdGuard. N'hésitez pas à l'utiliser pour incorporer DoQ dans votre propre application.
  Nous prévoyons également de rendre public le nouveau code AdGuard DNS dans un avenir proche.

Nous sommes vraiment enthousiasmés par les opportunités que la mise en œuvre du DNS-over-QUIC en tant que norme peut apporter : une connexion plus rapide, un meilleur cryptage, un taux de perte de paquets plus faible, la " migration de la connexion ", et bien plus encore. Et nous sommes impatients d'en profiter ! En attendant, vous pouvez lire comment configurer DoQ dans AdGuard pour iOS et AdGuard pour Android ou configurer un serveur DNS public AdGuard qui utilise le protocole QUIC (vous pouvez le trouver dans la section "Nos adresses de serveurs"). Ou créez votre propre serveur DNS AdGuard privé, choisissez le protocole que vous voulez (comme DoQ !) et soyez directement en charge de toutes vos requêtes DNS !