DNS over HTTPS (DoH)

DoH (RFC 8484) encapsule des requêtes DNS standard dans des requêtes HTTPS envoyées à un résolveur compatible, généralement sur le port 443. Le trafic ressemblant à du trafic web ordinaire est difficile à bloquer de manière sélective et reste chiffré de bout en bout entre le client et le résolveur. Cela empêche les attaquants sur le chemin, les portails captifs ou les FAI d'observer ou de réécrire les résolutions DNS. DoH n'authentifie pas les données elles-mêmes (c'est le rôle de DNSSEC) mais préserve la confidentialité des requêtes. Certaines entreprises s'opposent à DoH car il contourne le filtrage DNS local ; les parades incluent l'imposition d'un résolveur géré, le blocage de points DoH publics connus ou une politique DNS sécurisé via DDR.