AnonymFlow
privacy-best-practicesINFO

DNS over HTTPS : configuration navigateur en 2026 (Chrome, Firefox, Edge, Safari)

DoH chiffre tes requêtes DNS dans HTTPS et empêche ton FAI de lire ton historique de domaines. Configuration pas à pas Chrome, Firefox, Edge, Safari + comparatif NextDNS / Cloudflare / Quad9 + impact sur le tunnel VPN.

Par Eric Gerard · Éditeur · AnonymFlow16 min de lecturePhoto via Unsplash

Le DNS over HTTPS (DoH) chiffre tes requêtes DNS dans le tunnel HTTPS générique (port 443) au lieu de les laisser voyager en clair sur UDP/53 vers le résolveur de ton FAI. Concrètement : ton FAI ne voit plus la liste des domaines que tu visites, ton hotspot Wi-Fi public ne peut plus rediriger silencieusement tes requêtes vers un résolveur compromis, et ton opérateur réseau d'entreprise perd la visibilité fine sur ton activité. C'est une amélioration significative de la vie privée - mais le configurer correctement en 2026 demande de comprendre les interactions avec le VPN, le contrôle parental, et la nouvelle norme ECH. Voici la configuration pas à pas Chrome, Firefox, Edge, Safari, plus le comparatif des trois principaux résolveurs DoH (Cloudflare, NextDNS, Quad9) et les pièges connus.

Pourquoi configurer DoH en 2026 ?

Le DNS classique (RFC 1035, 1987) envoie chaque résolution de domaine en UDP sur le port 53, en clair. Quand tu tapes nordvpn.com dans Chrome, ton navigateur demande à ton résolveur DNS (typiquement celui du FAI : Orange 80.10.246.X, Free 212.27.40.X, SFR 109.0.66.X) de traduire ce nom en adresse IP. Cette requête est lisible par :

  • Ton FAI (Hadopi/ARCOM en France conserve les logs DNS 12 mois selon Loi Renseignement 2015, accessibles sur réquisition).
  • L'opérateur du Wi-Fi public (café, hôtel, aéroport - capture passive triviale).
  • Ton routeur (modèles grand public Livebox/Freebox loggent les requêtes pour le contrôle parental intégré).
  • L'employeur sur réseau d'entreprise (Cisco Umbrella, Zscaler interceptent UDP/53).
  • Tout intermédiaire sur le chemin réseau (MITM trivial sur UDP non chiffré).

Le DoH (RFC 8484, 2018) résout ce problème : la requête DNS est encapsulée dans HTTP/2 ou HTTP/3 sur le port 443 (HTTPS standard), donc chiffrée de bout en bout entre ton navigateur et le résolveur DoH. Pour un observateur sur le chemin, c'est du trafic HTTPS générique indiscernable d'une visite Gmail ou Wikipedia. Aucun moyen d'extraire la liste des domaines visités sans casser TLS - économiquement et techniquement irréaliste à grande échelle.

DoH ne résout pas tous les problèmes de privacy. L'adresse IP destination reste visible (la connexion TLS subséquente vers nordvpn.com montre que tu te connectes à nordvpn.com's IP - Cloudflare en l'occurrence - visible côté réseau). Et le SNI (Server Name Indication) dans le handshake TLS révèle le hostname destination en clair par défaut. C'est là qu'ECH (Encrypted Client Hello) entre en jeu - détaillé plus bas. Combinaison gagnante 2026 : DoH + ECH + VPN no-log = trafic web pratiquement anonyme face à la surveillance passive. Pour comprendre pourquoi cette défense en profondeur compte au quotidien, voir pourquoi la vie privée numérique compte en 2026.

Configuration DoH par navigateur

Chrome / Edge / Brave / Opera (moteur Chromium)

Tous les navigateurs Chromium partagent la même implémentation DoH depuis 2020. La configuration est identique.

  1. Ouvrir chrome://settings/security (ou edge://settings/privacy sous Edge).
  2. Section Sécurité → trouver « Utiliser un DNS sécurisé » (ou « Use secure DNS »).
  3. Activer le toggle. Deux options apparaissent :
    • Avec votre fournisseur de services actuel : Chrome utilise DoH si le DNS système le supporte (rare en France - les FAI grand public n'exposent pas DoH).
    • Avec : sélection manuelle d'un fournisseur dans la liste déroulante (Cloudflare 1.1.1.1, Google 8.8.8.8, NextDNS, Quad9, OpenDNS) ou saisie manuelle d'une URL DoH custom.
  4. Choisir Custom → coller l'URL DoH selon ton résolveur :
    • Cloudflare : https://1.1.1.1/dns-query
    • NextDNS : https://dns.nextdns.io/[ton-id-personnel] (ID dispo dans ton dashboard NextDNS)
    • Quad9 : https://dns.quad9.net/dns-query
  5. Sauvegarder. La page se recharge automatiquement avec DoH actif.

Vérification : aller sur 1.1.1.1/help. Si « Using DNS over HTTPS (DoH) » affiche Yes, c'est validé. Si Non, vérifier le pare-feu local (Windows Defender, Little Snitch) qui peut bloquer le port 443 vers les IPs de Cloudflare en restrictif. Et pour valider que ton DNS ne fuit pas malgré DoH actif, suivre notre méthodologie complète de test de fuite DNS.

Firefox

Firefox a déployé DoH par défaut aux US depuis 2020, manuellement en Europe.

  1. Ouvrir about:preferences#privacy.
  2. Descendre tout en bas → section Paramètres DNS sur HTTPS (ou « DNS over HTTPS »).
  3. Cliquer Activer la protection → trois modes :
    • Protection maximale : DoH forcé, échec si indisponible (recommandé pour usage privacy).
    • Protection accrue : DoH actif, fallback DNS classique si DoH échoue (compromis).
    • Désactivé : DNS système (FAI).
  4. Choisir le résolveur : Cloudflare (par défaut), NextDNS, ou « Personnalisé » (saisir URL DoH).
  5. Sauvegarder.

Firefox a un avantage majeur : ECH (Encrypted Client Hello) est actif par défaut depuis la version 118 (octobre 2023). Tu n'as rien à configurer - Firefox négocie automatiquement ECH avec Cloudflare et autres CDN compatibles. Pour vérifier : about:config → rechercher network.dns.echconfig.enabled → doit être true.

Safari (macOS / iOS)

Safari ne supporte pas DoH natif comme Chrome ou Firefox. Configuration se fait au niveau système.

macOS Sonoma/Sequoia : Installer un profil de configuration DoH signé.

  1. NextDNS fournit un profil signé sur nextdns.io après création de compte. Télécharger le profil .mobileconfig.
  2. Ouvrir le profil → Préférences Système → Profils → Installer.
  3. Saisir le mot de passe admin. Le profil DoH est actif système-wide, donc Safari (et toutes les apps) l'utilisent automatiquement.

iOS 14+ : Réglages → Wi-Fi → tap sur le réseau actif → Configurer DNS → Manuel → ajouter URL DoH. Plus simple : installer le profil NextDNS depuis Safari mobile, accepter l'installation. Tous les apps iOS utilisent alors DoH (sauf celles qui forcent leur propre résolveur - TikTok, certaines apps chinoises).

Pour Cloudflare DoH iOS : installer l'app gratuite « 1.1.1.1 » qui configure DoH système et propose en option WARP (VPN gratuit Cloudflare, à ne pas confondre avec un VPN privacy strict).

Comparatif des trois résolveurs DoH dominants

Les listes de fournisseurs préinstallées dans Chrome et Firefox (Cloudflare en tête) facilitent l'adoption par défaut, mais le choix du résolveur reste à toi.

RésolveurLocalisationPolitique logFiltrage inclusPrix
Cloudflare 1.1.1.1US (PoP global, EU inclus)No-log audité KPMG 2024Aucun (1.1.1.2 ajoute malware)Gratuit
NextDNSFrance/Irlande/globalNo-log par défaut, opt-in logPubs, trackers, malware, parental, listesGratuit < 300k req/mois, 1,99 €/mois illimité
Quad9 9.9.9.9Suisse (PCH consortium)No-log strict, organisation non-lucrativeMalware automatiqueGratuit
Google 8.8.8.8USLog 24-48h anonymiséAucunGratuit
OpenDNS FamilyUS (Cisco)Log entrepriseParental, malwareGratuit personnel / payant pro

Côté vitesse, les classements publics indépendants (DNSPerf, par exemple) mesurent en continu la latence de ces résolveurs depuis de nombreux points de mesure : Cloudflare et Google y figurent régulièrement parmi les plus rapides, NextDNS et Quad9 restent compétitifs en Europe. Les écarts réels dépendent de ta localisation, de ton FAI et du point de présence le plus proche - consulte un comparateur public pour ta situation précise.

Recommandation pratique 2026 :

  • Privacy maximaliste, simplicité : Cloudflare 1.1.1.1 (le plus rapide, audit KPMG, configuration zéro).
  • Filtrage personnalisé (bloquer pubs, trackers, parental) : NextDNS, plan gratuit suffit pour usage perso < 300k requêtes/mois (un foyer normal consomme ~50-150k requêtes/mois).
  • Confiance organisationnelle, juridiction suisse : Quad9, non-lucratif, sans lien avec Big Tech US.

À éviter pour privacy stricte : Google 8.8.8.8 (juridiction US, log 24-48h, intérêt commercial publicitaire évident) et les résolveurs DoH proposés par les FAI (Orange OpenDNS, Bouygues - politique log = politique FAI, donc nul gain de privacy).

Conflit DoH ↔ VPN : la fuite la plus fréquente en 2026

C'est le problème n°1 identifié sur les audits de fuite DNS post-2022. Quand Chrome/Firefox/Edge activent DoH par défaut au niveau navigateur, les requêtes DNS sortent du navigateur directement vers Cloudflare en HTTPS, court-circuitant le DNS système. Or le VPN gère le DNS au niveau système (route les requêtes UDP/53 dans le tunnel). Conséquence : ton trafic HTTP/HTTPS voyage dans le VPN, mais tes requêtes DNS voyagent en HTTPS direct hors VPN - la liste des domaines que tu visites reste visible côté Cloudflare (qui les logge potentiellement) et côté réseau FAI (qui voit les connexions HTTPS vers Cloudflare en plus du VPN).

Tester ta situation : ouvrir dnsleaktest.com en mode Extended → si tu vois Cloudflare répondre (et non l'IP de ton VPN), DoH navigateur est actif et court-circuite le VPN. C'est techniquement une fuite DNS résiduelle.

Trois solutions par ordre de préférence :

  1. Désactiver DoH navigateur quand VPN est actif (paramètres Chrome → DNS sécurisé → désactiver). Le VPN gère le DNS au niveau OS et tunnelise toutes les requêtes. C'est l'approche standard. Inconvénient : nécessite de reconfigurer à chaque changement VPN/non-VPN.
  2. Utiliser un VPN avec DoH natif intégré. NordVPN Threat Protection inclut son propre résolveur DoH depuis 2024, qui tunnelise les requêtes DoH dans le tunnel WireGuard - pas de fuite, navigation cohérente. ExpressVPN et Mullvad ont adopté la même approche.
  3. Configurer le navigateur sur le résolveur DoH du VPN (avancé). NordVPN expose ses résolveurs internes sur 103.86.96.X (à confirmer côté support - l'IP varie selon les serveurs). Pas la solution recommandée - trop de friction.
Choix éditorial
4.6 / 5

NordVPN Threat Protection - DoH natif intégré

Résout le conflit DoH / VPN sans configuration manuelle · Audit Deloitte 2024 · 30 jours satisfait ou remboursé

Audit Deloitte 2024Garantie 30 jours14M+ utilisateurs
Voir l'offre

DoH sur mobile : iOS et Android

iOS 14+

Trois approches selon le niveau de configuration souhaité :

  • Per-Wi-Fi : Réglages → Wi-Fi → réseau actif → Configurer DNS → Manuel → ajouter une URL DoH. Inconvénient : configuration par réseau Wi-Fi, ne s'applique pas en 4G/5G.
  • Profil système (recommandé) : installer un profil .mobileconfig depuis Safari mobile. Cloudflare propose 1.1.1.1 qui pré-configure DoH système-wide. NextDNS génère un profil personnalisé depuis le dashboard utilisateur, incluant ID compte et règles de filtrage.
  • App tierce : 1.1.1.1, AdGuard, NextDNS app. Configurent DoH au niveau VPN local - toutes les apps iOS utilisent DoH automatiquement.

Android 9+

Android utilise officiellement DoT (DNS over TLS) sous le label « DNS privé » dans Paramètres → Réseau & Internet → DNS privé. Configuration :

  1. Sélectionner Nom du fournisseur de DNS privé.
  2. Saisir le hostname (pas URL complète) :
    • Cloudflare : 1dot1dot1dot1.cloudflare-dns.com
    • NextDNS : [ton-id].dns.nextdns.io
    • Quad9 : dns.quad9.net
  3. Sauvegarder. DoT actif système-wide.

Pour DoH strict sur Android (au lieu de DoT), installer une app dédiée : AdGuard Android, NextDNS app, 1.1.1.1 par Cloudflare. Elles créent un VPN local qui intercepte le DNS et l'envoie en DoH. Compatible avec un VPN externe (NordVPN) via VPN chaining si l'app le supporte.

ECH : la couche complémentaire en 2026

Un écran de connexion avec un champ mot de passe
Un écran de connexion avec un champ mot de passe

DoH chiffre la requête DNS. Mais une fois résolu, ton navigateur établit une connexion TLS vers l'IP du site - et envoie le SNI (Server Name Indication) en clair dans le ClientHello TLS pour indiquer au serveur quel site précis il demande (utile sur les serveurs hébergeant plusieurs sites en HTTPS). Ce SNI est visible par ton FAI et tout intermédiaire réseau, même si tout le reste de la connexion est chiffré. Conséquence : malgré DoH, ton FAI peut reconstituer la liste des sites visités via SNI.

ECH (Encrypted Client Hello, RFC draft 2023) corrige cette faille en chiffrant le SNI lui-même. Le ClientHello est divisé en deux parties : un « outer » envoyé en clair (avec un SNI factice générique comme cloudflare.com) et un « inner » chiffré avec la clé publique du résolveur. Pour un observateur : impossible de savoir quel site précis est demandé.

Avant ECH, ton FAI pouvait corréler IP destination + SNI en clair pour reconstruire ton historique de navigation. C'est précisément pour neutraliser ce vecteur que combiner DoH + ECH + kill switch VPN reste la meilleure pratique en 2026 - chaque couche neutralise une fuite résiduelle des deux autres.

État du déploiement en mai 2026 :

  • Firefox 118+ : ECH actif par défaut depuis octobre 2023. Aucune configuration nécessaire.
  • Chrome / Edge / Brave : ECH disponible derrière flag depuis Chrome 117, activé par défaut dans Chrome 124 (avril 2026). Vérifier chrome://flags/#encrypted-client-hello → Default ou Enabled.
  • Safari : ECH en preview depuis macOS Sequoia, déploiement progressif en 2026.

Côté serveur, Cloudflare déploie ECH sur l'ensemble de son CDN depuis 2023 (couvre ~20 % du web mondial). Fastly et Akamai en cours de déploiement. Sites auto-hébergés : nécessite Nginx 1.27+ avec module ECH ou Caddy expérimental.

Vérifier ECH actif : cloudflare.com/ssl/encrypted-sni. Résultat « Encrypted SNI » doit être vert. Si rouge, vérifier que tu utilises Firefox 118+ ou Chrome 124+ avec DoH activé (ECH dépend de DoH pour récupérer la clé publique du serveur via HTTPS DNS record).

Performance et impact réel

DoH ajoute un léger surcoût par rapport au DNS UDP classique : le temps d'établir la connexion TLS, puis l'encapsulation HTTP de chaque requête. Sur un résolveur rapide à connexion persistante, ce surcoût se réduit à quelques millisecondes par requête après le premier handshake - négligeable en pratique, le DNS représentant moins de 1 % du temps de chargement total d'une page web. Le cache DoH navigateur (Chrome conserve par défaut un cache d'entrées récentes) accélère encore les requêtes répétées, au point de rivaliser avec le DNS UDP classique.

Sur réseau dégradé (4G en mobilité, hotspot Wi-Fi public saturé), DoH peut même se comporter mieux que le DNS UDP dans certains cas - les paquets UDP sont parfois perdus sans mécanisme de retransmission agressif sur réseaux saturés, tandis que DoH bénéficie du retry TCP natif qui compense la perte de paquets. L'impact exact dépend du réseau, du résolveur et du point de présence le plus proche.

Pièges connus en 2026

Piège n°1 - Contrôle parental brisé. Si tes enfants activent DoH dans leur navigateur (Chrome, Firefox), le contrôle parental basé DNS (OpenDNS Family, Cleanbrowsing au routeur, Sosh Contrôle Parental Orange) est complètement court-circuité. Solution 2026 : bloquer DoH au routeur via règle firewall (Asus AiProtection, Pi-hole + dnsmasq qui force le DNS local), ou installer NextDNS familial qui supporte DoH avec filtrage parental.

Piège n°2 - Filtrage entreprise contourné. Les politiques DLP (Data Loss Prevention) et filtrage URL d'entreprise se basent sur l'interception DNS. DoH activé sur les postes employés court-circuite la politique IT. Solution : déployer Cloudflare Gateway ou Zscaler avec politique DoH compatible (l'agent corporate intercepte DoH au lieu du DNS).

Piège n°3 - DoH bloqué sur certains pays. Russie, Iran, Chine bloquent intermittement Cloudflare 1.1.1.1 et autres résolveurs DoH publics. Solution : NextDNS qui rotate ses IPs, ou DoH via VPN (le VPN tunnelise DoH, devient invisible au filtrage pays).

Piège n°4 - Conflit avec Pi-hole. Si tu utilises Pi-hole pour bloquer les pubs au niveau réseau, DoH navigateur court-circuite Pi-hole. Solution : configurer Pi-hole avec cloudflared comme upstream DoH (Pi-hole devient résolveur DoH local), bloquer DoH navigateur via règles firewall, et forcer le navigateur à utiliser DNS système (Pi-hole).

Piège n°5 - Apps qui forcent leur DNS. TikTok, certaines apps Chinese OEM (Xiaomi, Huawei), apps bancaires anti-MITM forcent leur propre résolveur indépendamment de la config DoH système. Aucune solution propre - limite intrinsèque de l'écosystème mobile.

Récap : configuration DoH en 2026

NiveauOutilDifficultéCouverture
Navigateur seulChrome / Firefox DoH1 minuteTrafic navigateur uniquement
App mobile1.1.1.1, NextDNS app2 minutesToutes les apps mobile
Système macOSProfil .mobileconfig3 minutesToutes les apps macOS
Système AndroidDNS privé natif1 minuteToutes les apps Android
Réseau localPi-hole + cloudflared30 minutesTous les appareils du foyer
VPN intégréNordVPN Threat Protection0 minuteTout trafic VPN

Recommandation 2026 : pour usage personnel, activer DoH navigateur (Cloudflare ou NextDNS) + combiner avec VPN no-log qui gère le DoH au niveau tunnel. NordVPN Threat Protection résout le conflit DoH/VPN sans configuration manuelle. Vérifier ECH actif sur Firefox 118+ ou Chrome 124+. Pour foyer avec enfants, ajouter NextDNS familial qui filtre les domaines inappropriés tout en respectant le chiffrement DoH.

Choix éditorial
4.6 / 5

NordVPN avec DoH natif - privacy DNS sans configuration

Threat Protection inclus · Audit Deloitte 2024 · 30 jours satisfait ou remboursé

Audit Deloitte 2024Garantie 30 jours14M+ utilisateurs
Voir l'offre

Ce qu'il faut retenir

DoH n'est pas une protection magique, c'est une brique fondamentale de la privacy web 2026 - au même titre que HTTPS l'est devenu après 2018. Chiffrer la résolution DNS empêche la surveillance passive triviale (FAI, hotspot, employeur) mais ne masque ni l'IP ni le SNI sans ECH. Combinaison gagnante : DoH (Cloudflare ou NextDNS) + ECH (Firefox 118+ ou Chrome 124+) + VPN no-log audité = triple couche qui rend la surveillance d'usage personnel pratiquement impossible sans accès direct à ton appareil.

Configurer DoH prend 5 minutes par navigateur, 0 minute avec un VPN qui l'inclut nativement. Vérifier que le contrôle parental et le filtrage entreprise restent fonctionnels après activation. Pour la vie privée stricte, désactiver DoH navigateur quand un VPN gère déjà le DNS au niveau système - sinon double couche redondante qui peut créer des fuites.

Pour aller plus loin. À lire aussi : Tor sur VPN.

Approfondir la privacy DNS et navigateur

Choix éditorial
4.4 / 5

Le VPN orienté vie privée → Proton VPN

No-log audité · juridiction suisse · open-source · offre gratuite

Audit SEC Consult 2024Juridiction SuisseOpen-source
Voir l'offre
Tout ce qu'il faut savoir.

Questions fréquentes

DNS over HTTPS (DoH) suffit-il pour protéger ma vie privée ?

Non. DoH chiffre la requête DNS entre ton navigateur (ou ton OS) et le résolveur DoH choisi (Cloudflare, NextDNS, Quad9). C'est une amélioration significative : ton FAI ne voit plus la liste des domaines que tu visites en clair (avant DoH, les requêtes DNS sortaient sur le port 53 UDP non chiffré, lisibles par tout intermédiaire). Mais DoH ne masque ni ton adresse IP publique (visible côté serveur web), ni la connexion TCP elle-même (visible côté FAI via le SNI TLS - sauf si ECH est activé, voir plus bas). Pour la vie privée complète, DoH se combine à un VPN no-log audité qui masque l'IP et tunnelise tout le trafic. DoH seul est utile contre la surveillance passive (FAI, hotspot Wi-Fi public, opérateur réseau d'entreprise), insuffisant face à la corrélation IP/SNI.

Quel résolveur DoH choisir en 2026 : Cloudflare, NextDNS ou Quad9 ?

Trois profils distincts. **Cloudflare 1.1.1.1** : généralement parmi les plus rapides en Europe (les classements publics indépendants comme DNSPerf le placent régulièrement en tête), politique no-log auditée KPMG 2024, basé US (juridiction défavorable mais audit transparent). **NextDNS** : le plus configurable (filtrage publicitaire, tracking, parental, listes personnalisées), gratuit jusqu'à 300 000 requêtes/mois, basé France/Irlande, log optionnel utilisateur. **Quad9 9.9.9.9** : focus sécurité avec filtrage malware automatique, organisation non-lucrative suisse, no-log strict (cookies de session uniquement). Pour usage personnel : NextDNS si filtrage personnalisé compte, Cloudflare si vitesse pure, Quad9 si confiance organisationnelle suisse. Pour usage pro : NextDNS avec compte payant (1,99 €/mois) qui débloque illimité + analytics.

DoH navigateur entre-t-il en conflit avec mon VPN ?

Oui, c'est la cause n°1 des fuites DNS résiduelles malgré VPN actif. Quand Chrome ou Firefox activent DoH par défaut, ils envoient les requêtes DNS directement au résolveur DoH (Cloudflare, NextDNS) en court-circuitant le DNS système - donc en court-circuitant le tunnel VPN. Trois solutions : (1) **désactiver DoH navigateur** quand VPN est actif (paramètres → confidentialité → DNS sécurisé → désactiver), laissant le VPN gérer le DNS au niveau système ; (2) **configurer le navigateur sur le DNS du VPN** (NordVPN expose 103.86.96.X, ExpressVPN ses propres résolveurs) - possible mais nécessite recherche manuelle ; (3) **utiliser un VPN avec DoH natif intégré** qui acheminera le DoH via le tunnel. NordVPN Threat Protection inclut un résolveur DoH propre depuis 2024. Tester ensuite via dnsleaktest.com - aucun DNS hors VPN ne doit apparaître.

DoH fonctionne-t-il sur iOS et Android ?

Oui, nativement sur les deux depuis 2021. **iOS 14+** : Réglages → Wi-Fi → réseau actuel → Configurer DNS → Manuel → ajouter une URL DoH (`https://dns.nextdns.io/[ton-id]` ou `https://1.1.1.1/dns-query`). Pour application universelle, installer un profil de configuration (NextDNS le fournit signé Apple). **Android 9+** : Paramètres → Réseau & Internet → DNS privé → Nom du fournisseur de DNS privé → entrer le hostname (`dns.nextdns.io` ou `1dot1dot1dot1.cloudflare-dns.com`). Note : Android utilise DoT (DNS over TLS) sous le label « DNS privé », pas DoH strictement - fonctionnalité équivalente, encapsulation différente. Activer cette option chiffre toutes les requêtes DNS du téléphone hors apps qui imposent leur propre résolveur.

DoH améliore-t-il la performance ou la dégrade-t-il ?

Légère dégradation théorique mais imperceptible en usage courant. Le DNS classique UDP/53 répond en quelques millisecondes vers le résolveur FAI. DoH ajoute le coût d'établir une connexion TLS (handshake initial), puis chaque requête voyage dans HTTP/2 ou HTTP/3. Sur un résolveur rapide comme Cloudflare 1.1.1.1, la connexion TLS est persistante et le handshake amorti - le coût marginal par requête après warmup est faible. À noter : la fonction cache DoH navigateur (Chrome, Firefox) accélère les requêtes répétées, au point que le total peut devenir comparable ou plus rapide que le DNS UDP non caché. En pratique, le DNS représente une fraction négligeable du temps de chargement d'une page, donc le surcoût DoH est inaudible pour l'utilisateur.

Mon FAI peut-il bloquer DoH ?

Techniquement difficile, politiquement possible. DoH passe sur le port 443 HTTPS - bloquer le port 443 reviendrait à bloquer 95 % du web. Mais un FAI peut bloquer spécifiquement les IP des résolveurs DoH connus (1.1.1.1, 9.9.9.9, NextDNS IPs publiées) si la régulation l'y autorise. En France, aucun blocage généralisé de DoH n'est documenté en mai 2026. En Russie et Iran, Cloudflare 1.1.1.1 est intermittently bloqué depuis 2022 - solution : NextDNS qui rotate ses IPs ou utiliser DoH via VPN qui rend le DoH invisible au FAI. En entreprise, le FAI corporate peut bloquer Cloudflare DoH pour forcer le DNS interne (audit, filtrage URL) - c'est légitime et négociable avec l'IT. Le résolveur reste opérationnel via VPN privé qui contourne le DNS d'entreprise.

ECH (Encrypted Client Hello) remplace-t-il DoH ?

Non, ECH complémente DoH sans s'y substituer. DoH chiffre la **requête DNS** (résolution domaine → IP). ECH chiffre le **SNI TLS** (Server Name Indication, qui révèle quel site est demandé au moment de la connexion TLS - visible sans DoH ni ECH même si HTTPS est activé). Sans ECH, ton FAI voit toujours quel site tu visites via le SNI en clair lors du handshake TLS, même avec DoH actif. ECH déployé partiellement chez Cloudflare depuis 2023 et activé par défaut dans Firefox 118+ (octobre 2023). Pour vérifier ECH actif : aller sur [cloudflare.com/ssl/encrypted-sni](https://www.cloudflare.com/ssl/encrypted-sni/), résultat « Encrypted SNI » doit être vert. Combinaison gagnante en 2026 : DoH navigateur + ECH actif + VPN no-log. Triple couche qui rend la corrélation utilisateur ↔ domaine pratiquement impossible.

Quel impact de DoH sur le contrôle parental et le filtrage entreprise ?

Impact majeur, à anticiper. Les solutions de contrôle parental basées DNS (OpenDNS Family Shield, Cleanbrowsing, Sosh Contrôle Parental côté FAI) fonctionnent en interceptant les requêtes DNS UDP/53 pour bloquer les domaines inappropriés. Si l'enfant active DoH navigateur, le filtrage est **complètement court-circuité** - les requêtes voyagent vers Cloudflare au lieu du résolveur familial. Solutions parentales 2026 : (1) bloquer le DoH au routeur via règle firewall (Asus AiProtection, Pi-hole + dnsmasq), (2) configurer NextDNS avec compte familial sur tous les appareils (NextDNS supporte DoH avec filtrage), (3) utiliser un VPN parental qui force le DNS de filtrage. Côté entreprise, même principe : forcer Cloudflare Gateway ou Zscaler avec politique DoH compatible. Le simple blocage UDP/53 ne suffit plus.

DoH ou DoT : quelle différence pratique ?

Différence d'encapsulation, pas de chiffrement. **DoT (DNS over TLS, RFC 7858, 2016)** envoie les requêtes DNS sur le port 853 TCP avec TLS direct - détection facile (port dédié), blocage trivial. **DoH (DNS over HTTPS, RFC 8484, 2018)** encapsule les requêtes DNS dans HTTP/2 ou HTTP/3 sur le port 443 - indistinguable du trafic web normal, bypass de filtrage. Côté navigateur, DoH domine (Chrome, Firefox, Edge le supportent nativement). Côté système Android, DoT est utilisé sous le label « DNS privé ». Côté Linux, systemd-resolved supporte DoT depuis 2020, DoH manuel via cloudflared ou dnsdist. Recommandation 2026 : DoH côté client (navigateur, app) pour résistance au blocage, DoT côté serveur (résolveur récursif maison) pour simplicité de configuration.

Comment vérifier que DoH est actif sur mon navigateur ?

Trois tests indépendants pour confirmer. (1) **Test Cloudflare** : aller sur [1.1.1.1/help](https://1.1.1.1/help) - la page liste « Using DNS over HTTPS (DoH) » Yes/No. Si Yes, DoH est actif. (2) **Test mozillafoundation** : [test.dnsleak.com](https://test.dnsleak.com/) montre quel résolveur répond, et son protocole. (3) **Test Wireshark** (avancé) : capture le trafic réseau et observer l'absence de requêtes UDP/53 sortantes après une recherche dans le navigateur - seul du HTTPS/443 vers le résolveur DoH doit apparaître. Si du DNS clair sort encore, c'est que (a) une autre app contourne DoH navigateur (extension, plugin, autre navigateur ouvert), (b) le système répond avant le navigateur (Windows Smart Multi-Homed). Désactiver les contournements pour DoH-only.