Accueil > DNS over HTTPS (DoH) : guide complet 2026

DNS over HTTPS (DoH) : guide complet 2026

13 min de lecture 2 445 mots Mis à jour 18 mai 2026

Le DNS over HTTPS, ou DoH, chiffre toutes vos requêtes DNS en les encapsulant dans des connexions HTTPS classiques. Concrètement, votre fournisseur d’accès (FAI), les administrateurs Wi-Fi et les attaquants sur le même réseau ne peuvent plus voir quels sites vous consultez. Standardisé par l’IETF en 2018 (RFC 8484), DoH est aujourd’hui disponible nativement dans Firefox, Chrome, Edge, Windows 11, Android et iOS. Sur Trouver-IP.info, on vous explique comment ça marche, comment l’activer et quels serveurs choisir.

Qu’est-ce que DNS over HTTPS (DoH) ?

DNS over HTTPS est un protocole de résolution DNS qui transporte les requêtes et les réponses DNS à l’intérieur d’une connexion HTTPS chiffrée, comme celle utilisée pour visiter un site bancaire. Au lieu d’envoyer en clair sur le réseau « quelle est l’IP de google.com ? », votre appareil envoie cette question dans un tunnel TLS qui apparaît à un observateur comme du trafic web ordinaire.

Le standard a été défini par l’RFC 8484 en octobre 2018. Depuis, il est massivement déployé : Mozilla Firefox depuis 2020, Google Chrome depuis 2020, Microsoft Edge, Apple Safari (via Mobile Configuration), Windows 11 en natif, Android 9+ (via DoT côté système) et iOS 14+ via profil de configuration.

Concrètement, DoH change quatre choses sur votre quotidien numérique :

  • Votre FAI ne peut plus voir quels sites vous consultez via le DNS
  • Les administrateurs Wi-Fi publics ne peuvent plus journaliser facilement vos requêtes
  • Les attaquants sur le même réseau ne peuvent plus intercepter ou modifier les réponses (DNS spoofing)
  • En contrepartie, le serveur DoH choisi (Cloudflare, Google, NextDNS…) voit tout votre trafic DNS

Comment fonctionne DNS over HTTPS ?

Pour comprendre DoH, il faut d’abord saisir le fonctionnement du DNS classique. Le DNS traditionnel envoie les requêtes en clair sur le port UDP 53, lisibles par n’importe qui sur le chemin réseau.

Étapes du DNS classique (sans chiffrement)

  1. Vous tapez trouver-ip.info dans votre navigateur
  2. Le système envoie une requête DNS en clair sur le port UDP 53 au résolveur du FAI
  3. Le résolveur DNS répond avec l’adresse IP du site (ex: 51.91.239.203)
  4. Le navigateur se connecte à cette IP en HTTPS

Le problème : entre les étapes 2 et 3, tout passe en clair. FAI, employeur, gouvernement, attaquant sur le même Wi-Fi… n’importe qui peut lire vos requêtes DNS, voire les modifier (attaque par empoisonnement).

Étapes du DoH (chiffrement de bout en bout)

  1. Vous tapez trouver-ip.info
  2. Le navigateur ouvre une connexion HTTPS chiffrée vers le serveur DoH choisi (ex: https://cloudflare-dns.com/dns-query)
  3. La requête DNS est envoyée à l’intérieur de cette connexion HTTPS, sur le port TCP 443 (le port standard du web)
  4. Le serveur DoH répond, toujours dans le tunnel chiffré
  5. Personne d’autre que vous et le serveur DoH ne voit le contenu de la requête

Le tour de force : du point de vue d’un observateur réseau, vos requêtes DoH ressemblent à du trafic web HTTPS classique. Pour bloquer le DNS chiffré, il faudrait bloquer tout HTTPS, ce qui équivaut à couper Internet.

DoH vs DNS classique : les différences

CaractéristiqueDNS classiqueDNS over HTTPS
PortUDP 53TCP 443 (HTTPS)
ChiffrementAucunTLS (HTTPS)
Lisibilité réseauEn clairChiffré
Filtrable par FAIOui (facile)Non (sans bloquer HTTPS)
LatenceTrès basseLégèrement supérieure (+10-30 ms)
ConfigurationAuto (DHCP)Manuelle (URL endpoint)
Cache OSSystèmeApplication (navigateur)

DoH vs DoT (DNS over TLS) : laquelle choisir ?

DoH (DNS over HTTPS, RFC 8484) et DoT (DNS over TLS, RFC 7858) sont les deux solutions standardisées pour chiffrer le DNS. Elles ont des philosophies différentes.

DoT (DNS over TLS)

  • Port dédié : TCP 853
  • Plus simple à filtrer côté admin réseau (port distinct facilement identifiable)
  • Plus performant (un seul protocole, pas de stack HTTP)
  • Plus visible : votre FAI sait que vous faites du DNS chiffré, même s’il ne voit pas le contenu
  • Natif sur Android 9+ via « Private DNS » dans les paramètres système

DoH (DNS over HTTPS)

  • Port 443, partagé avec tout HTTPS
  • Quasi-impossible à filtrer pour un FAI ou un admin
  • Légèrement plus lent (overhead HTTP/2)
  • Confondu avec le trafic web classique
  • Implémenté navigateur par navigateur (Firefox, Chrome, Edge)

Notre recommandation par usage

  • Particulier max confidentialité face au FAI : DoH (caché dans le trafic HTTPS)
  • Réseau d’entreprise gardant visibilité DNS : DoT avec serveur DoT interne
  • Smartphone Android natif : DoT (option Private DNS, sans app)
  • Navigateur desktop : DoH (intégré dans Firefox, Chrome, Edge)

Pourquoi activer DoH : 4 bénéfices concrets

1. Confidentialité face au FAI

En France, les FAI sont obligés de conserver pendant 12 mois certaines métadonnées de connexion pour les besoins judiciaires. Vos requêtes DNS en clair sont triviales à journaliser. Avec DoH, votre FAI voit que vous vous connectez à cloudflare-dns.com ou dns.google, mais pas les domaines que vous résolvez ensuite. Cela ne vous rend pas invisible (le SNI HTTPS et l’IP de destination restent visibles), mais cela coupe l’un des canaux de surveillance les plus simples.

2. Sécurité sur les Wi-Fi publics

Hôtel, café, aéroport : sur un réseau Wi-Fi public, un attaquant sur le même réseau peut intercepter et modifier les requêtes DNS non chiffrées. C’est ce qu’on appelle l’empoisonnement DNS (DNS spoofing) : on vous redirige vers un faux site bancaire qui imite le vrai. Avec DoH, ces attaques deviennent impossibles puisque le canal est chiffré et authentifié TLS.

3. Contournement des filtres FAI ou pays

Beaucoup de blocages d’État (sites pédopornographiques, sites de paris non agréés, sites de streaming pirate) sont implémentés au niveau DNS chez les FAI français. Activer DoH avec un serveur étranger (Cloudflare, Google, Quad9) contourne ces blocages — légalement ou non, selon le contenu accédé. Cela ne fonctionne pas pour les blocages plus profonds (IP, SNI) qui nécessitent un VPN.

4. Vitesse parfois meilleure

Les serveurs DoH publics comme Cloudflare (1.1.1.1) sont souvent plus rapides que les résolveurs des FAI, surtout en région ou en mobile. Tests de référence : Cloudflare répond en moyenne en 11 ms en Europe, vs 20-30 ms pour les DNS des FAI majeurs (Orange, Free, SFR). L’overhead HTTPS de DoH (10-30 ms supplémentaires) reste donc dans le négatif net.

Limites et critiques de DoH

Centralisation du DNS chez quelques acteurs

Le risque principal : si 80 % des utilisateurs DoH choisissent Cloudflare ou Google, ces deux entreprises voient une part énorme de tout le trafic DNS mondial. C’est paradoxal — on protège sa vie privée du FAI en la confiant à un géant américain soumis au CLOUD Act. Solution : utiliser des résolveurs alternatifs comme Quad9 (Suisse), NextDNS (France/USA, configurable), ou héberger son propre résolveur DoH.

Débogage réseau et entreprise

DoH casse certains outils de sécurité d’entreprise : DLP, contrôle parental, filtres réseau qui s’appuient sur l’inspection DNS. Pour les admins, c’est un cauchemar — il faut soit forcer DoH vers un serveur interne, soit bloquer DoH au pare-feu (ce qui devient difficile car les serveurs DoH partagent leur IP avec d’autres services).

Le serveur DoH voit tout votre trafic DNS

DoH chiffre le canal, pas le contenu — comme tout HTTPS. Le serveur DoH lui-même reçoit en clair vos requêtes. Choisir un serveur de confiance est donc critique : préférez ceux avec politique no-logs auditable (Quad9, NextDNS sans connexion), évitez ceux qui revendent les données (certains FAI proposent du DoH mais journalisent autant qu’avant).

Comment activer DNS over HTTPS

L’activation diffère selon le navigateur et l’OS. Voici les procédures pour les principales plateformes.

Activer DoH sur Google Chrome

  1. Ouvrir Chrome → menu ⋮ → Paramètres
  2. Section Confidentialité et sécuritéSécurité
  3. Descendre jusqu’à Utiliser un DNS sécurisé et activer le bouton
  4. Choisir le fournisseur (Cloudflare, Google, NextDNS, OpenDNS, Quad9) ou « Avec un fournisseur personnalisé »
  5. Pour personnalisé, coller l’URL DoH : https://cloudflare-dns.com/dns-query

Vérification : visiter 1.1.1.1/help doit afficher « Using DNS over HTTPS (DoH) : Yes ». Voir aussi notre guide pour vérifier votre adresse IP après changement DNS.

Activer DoH sur Mozilla Firefox

  1. Ouvrir Firefox → menu ☰ → Paramètres
  2. Section Vie privée et sécurité
  3. Descendre jusqu’à DNS over HTTPS
  4. Choisir parmi : Protection par défaut, Protection accrue, Protection maximale, Désactivé
  5. Avec « Protection accrue » ou « Maximale » : sélectionner un fournisseur (Cloudflare par défaut, NextDNS) ou « Personnaliser »

Firefox utilise par défaut Cloudflare. Pour changer : choisir « Personnaliser » et coller l’URL d’un autre fournisseur. Astuce avancée : taper about:config → chercher network.trr.uri pour modifier directement l’endpoint DoH.

Activer DoH sur Windows 11

  1. Paramètres → Réseau et Internet
  2. Choisir votre connexion active (Ethernet ou Wi-Fi)
  3. Cliquer sur Propriétés de l’attribution DNSModifier
  4. Passer en « Manuel », activer IPv4
  5. DNS préféré : 1.1.1.1 (Cloudflare) ou 8.8.8.8 (Google)
  6. Chiffrement DNS préféré : Chiffré uniquement (DNS over HTTPS)
  7. Répéter pour IPv6 si actif

Windows 11 a un client DoH natif au niveau système — tous vos navigateurs et apps utiliseront DoH automatiquement. Windows 10 ne supporte DoH qu’en mode développeur (build 19628+).

Activer DoH (ou DoT) sur Android

Android utilise nativement DoT et non DoH au niveau système. Activation :

  1. Paramètres → Réseau et Internet (ou « Connexions » selon constructeur)
  2. DNS privé (Private DNS)
  3. Choisir « Nom d’hôte du fournisseur DNS privé »
  4. Coller le hostname : one.one.one.one (Cloudflare), dns.google (Google), dns.quad9.net, ou votre config NextDNS

Pour du DoH pur sur Android, installer une app dédiée : Intra (Google), 1.1.1.1 (Cloudflare), NextDNS, ou AdGuard. Ces apps créent un VPN local qui force tout le trafic DNS de l’appareil dans un tunnel DoH.

Activer DoH sur iOS / iPhone

iOS 14+ supporte DoH et DoT via les profils de configuration MDM. Méthode la plus simple : installer un profil pré-configuré :

  1. Sur Safari iPhone, ouvrir le lien du profil DoH choisi (ex : paulmillr/encrypted-dns pour Cloudflare/Google/Quad9)
  2. iOS télécharge le profil de configuration
  3. Paramètres → en haut → Profil téléchargé → Installer
  4. Réglages → Général → VPN, DNS et appareil → DNS → choisir le profil

Alternative simple : installer l’app 1.1.1.1 de Cloudflare (gratuite, sans compte) qui configure DoH automatiquement.

Meilleurs serveurs DoH en 2026

Le choix du serveur DoH est aussi important que l’activation elle-même. Voici notre comparatif des principaux fournisseurs, tous gratuits.

ServeurEndpoint DoHAtoutsPolitique logs
Cloudflare 1.1.1.1https://cloudflare-dns.com/dns-queryVitesse (11 ms moyen FR), 1.1.1.1 mémorisable, no-malware variant 1.1.1.2Logs anonymes 24h, audité KPMG
Google Public DNShttps://dns.google/dns-queryStabilité globale, support DoH+DoT depuis 2019Logs 24-48h, anonymisés
NextDNShttps://dns.nextdns.io/<config_id>Personnalisable (filtres, blocage pub/malware), dashboard analyticsOptionnel selon config, no-logs par défaut
Quad9 9.9.9.9https://dns.quad9.net/dns-queryBlocage malwares natif, basé en Suisse, no-logsAucun log identifiable
AdGuard DNShttps://dns.adguard-dns.com/dns-queryBlocage pub et traqueurs au niveau DNS, version « Famille » filtres parentauxNo-logs (politique publique)
OpenDNS Familyhttps://doh.familyshield.opendns.com/dns-queryFiltres parentaux automatiques (Cisco)Logs anonymisés

Notre choix par profil

  • Performance pure : Cloudflare 1.1.1.1 (le plus rapide en France)
  • Sécurité anti-malware automatique : Quad9 9.9.9.9 ou Cloudflare 1.1.1.2 (variant security)
  • Blocage pub et traqueurs : AdGuard DNS ou NextDNS
  • Contrôle parental : OpenDNS Family ou Cloudflare 1.1.1.3 (variant family)
  • Maximum de personnalisation : NextDNS (gratuit jusqu’à 300 000 requêtes/mois)
  • Souveraineté européenne : Quad9 (Suisse) ou un résolveur DoH de FAI européen

DoH et votre adresse IP : ne confondez pas

Erreur fréquente : croire que DoH cache votre adresse IP publique. C’est faux. DoH chiffre uniquement vos requêtes DNS. Une fois la résolution effectuée, votre navigateur se connecte directement au site cible avec son IP réelle, qui reste visible pour le site visité, votre FAI et tout intermédiaire réseau.

Pour vérifier ce que les sites voient de vous, utilisez notre outil Mon adresse IP. Vous verrez que même avec DoH activé, votre IP publique apparaît inchangée.

Pour cacher votre IP, il faut un autre outil :

  • VPN : route tout votre trafic (pas juste DNS) via un serveur intermédiaire. Cache l’IP au prix de la confiance dans l’opérateur VPN.
  • Tor : trois sauts chiffrés. Anonymat fort, mais lent.
  • Combo VPN + DoH : sécurité réseau maximale. Votre DNS est protégé même si le VPN journalise.

Le bon réflexe : DoH protège quoi vous regardez (les domaines), un VPN protège qui regarde (votre IP). Les deux sont complémentaires.

FAQ : DNS over HTTPS

DoH ralentit-il la navigation ?

Marginalement. Le surcoût HTTPS ajoute typiquement 10 à 30 ms à la première résolution d’un domaine, négligeable ensuite grâce au cache. Sur les serveurs rapides comme Cloudflare ou Google, l’impact total reste sous 50 ms. Dans beaucoup de cas, DoH avec Cloudflare est même plus rapide que le DNS du FAI en clair.

DoH casse-t-il le contrôle parental ?

Potentiellement oui. Si vos enfants activent DoH dans leur navigateur avec un serveur sans filtre (Cloudflare standard), votre routeur de contrôle parental basé sur DNS devient inopérant. Solutions : forcer DoH vers un serveur avec filtres (NextDNS Family, OpenDNS Family, Cloudflare 1.1.1.3), ou bloquer DoH au niveau du pare-feu de la box.

Quel est le meilleur serveur DoH gratuit ?

Pour la vitesse pure : Cloudflare 1.1.1.1. Pour la sécurité anti-malware automatique : Quad9. Pour la personnalisation et le blocage pub : NextDNS (gratuit jusqu’à 300k requêtes/mois). Pour une famille avec filtres : OpenDNS Family ou Cloudflare 1.1.1.3.

DoH cache-t-il mon adresse IP ?

Non. DoH chiffre uniquement vos requêtes DNS. Pour cacher votre IP publique, il faut un VPN ou Tor. Vous pouvez vérifier votre IP actuelle sur notre page Mon adresse IP.

Mon FAI peut-il voir que j’utilise DoH ?

Il voit que vous vous connectez à un domaine comme cloudflare-dns.com en HTTPS, mais ne voit pas le contenu des requêtes. Pour masquer l’usage même de DoH, il faut un VPN qui chiffre tout le trafic en amont.

DoH ou DoT pour Android ?

DoT est natif sur Android 9+ via Private DNS, sans installer d’app. Simple et système-wide. Pour du DoH pur, installer une app dédiée (Intra, 1.1.1.1, NextDNS). Pour la simplicité : DoT. Pour la confidentialité maximale face à un réseau hostile : DoH via app.

Faut-il choisir entre DoH et un VPN ?

Non, ils sont complémentaires. DoH protège vos requêtes DNS (« quels sites vous regardez »). Un VPN protège votre IP et tout votre trafic (« qui regarde »). L’idéal est d’activer les deux, surtout sur Wi-Fi public.

Pour aller plus loin sur Trouver-IP.info

Voir aussi dans l'encyclopédie

Autres fiches qui pourraient vous intéresser

192.168.1.1

192.168.1.1 : l'IP par défaut de nombreux routeurs et box internet. Connexion, configuration Wi-Fi/DHCP/NAT, sécurité, dépannage et variantes par marque.

Lire la fiche

Commande ifconfig

Lire la fiche

DNS publics

Les DNS publics gratuits : 8.8.8.8 (Google), 1.1.1.1 (Cloudflare), 9.9.9.9 (Quad9), OpenDNS, AdGuard, NextDNS. Comparatif vitesse, vie privée, sécurité et configuration.

Lire la fiche
Voir toute l'encyclopédie

← Retour à Trouver-IP.info — la boîte à outils gratuite pour trouver mon adresse IP, localiser une IP et plus.

Copyright © 2026 Trouver IP — Tous droits réservés