CloudFlare lance un DNS plus rapide que celui de Google

Nicolas Furno |

CloudFlare a choisi le premier avril pour lancer son nouveau service, et ce n’est pas une blague. Cette entreprise américaine qui propose un ensemble de services destinés aux sites web, à la fois pour distribuer du contenu (CDN) et protéger contre les attaques de type DDoS, a lancé un service DNS. Pourquoi le premier avril ? Parce que son adresse IP est 1.1.1.1, quatre fois un, comme le 01/04.

Petit rappel très rapide si vous ne savez pas ce qu’est un serveur DNS. Sur internet, chaque site ou service est hébergé sur un serveur, un ordinateur physique associé à une adresse IP unique. Vous pourriez accéder au site en saisissant cette adresse, mais il faudrait retenir une série de quatre nombres pour chaque site visité, ce qui serait vite incroyablement complexe. Pour simplifier les choses, on utilise des noms de domaine, comme « apple.com » ou « macg.co », ce qui est beaucoup plus simple à retenir. Mais si les humains préfèrent utiliser des mots simples, le réseau internet a été construit autour des adresses IP et ce sont elles qui comptent sous le capot.

Le DNS est un « système de noms de domaine » (Domain Name System en VO), une immense base de données qui contient tous les noms de domaine enregistrés dans le monde, et l’adresse IP associée à chaque nom. Quand vous tapez l’adresse d’un site dans un navigateur, votre appareil se connecte d’abord à un serveur DNS pour connaître l’IP correspondante, puis accède au serveur associé à cette IP pour récupérer le contenu. Votre fournisseur d’accès dispose en général de ses propres serveurs de DNS, mais ils sont fréquemment assez lents.

C’est pour cela que l’on utilise parfois un service DNS tiers. Le plus connu est celui de Google, également identifié par son IP facile à retenir, 8.8.8.8. CloudFlare vient de lancer le sien, identifié par une adresse encore plus simple à retenir et qui ambitionne d’être encore plus rapide — et même le plus rapide à l’heure actuelle —, tout en offrant une meilleure protection pour l’utilisateur.

La commande traceroute à utiliser dans un terminal permet de suivre la connexion à un site internet, depuis votre routeur (premier résultat) jusqu’au serveur qui l’héberge (dernière ligne).

Du côté de la rapidité, la promesse est bien tenue. En moyenne, le DNS fourni par CloudFlare est plus rapide que celui de Google, qui était auparavant l’option gratuite la plus rapide sur le marché. C’est ce qu’a mesuré le site spécialisé DNSPerf, avec un temps moyen de connexion de 14 ms. C’est très peu, et c’est mieux que Google qui tourne autour de 34,5 ms d’après ce même site, mais c’est surtout probablement bien mieux que les DNS fournis par votre fournisseur d’accès à internet. CloudFlare indique qu’en moyenne, la latence est de 68 ms, mais on ne sait pas d’où vient ce chiffre. Des tests indépendants placent aussi ce nouveau-venu au-dessus de ses concurrents, surtout en Asie et en Amérique du Sud, où les acteurs historiques sont souvent moins bons.

Quoi qu’il en soit, il n’y a pas que la vitesse de connexion qui compte, il y a aussi la vitesse de propagation en cas de changement de serveur. Quand un site passe d’un hébergeur à un autre, il hérite d’une nouvelle adresse IP et les serveurs DNS dans le monde entier doivent enregistrer la nouvelle association nom de domaine/adresse IP. Cette étape prend jusqu’à 48 heures, mais elle est nettement plus rapide si vous utilisez un DNS tiers. Celui de Google était déjà bon sur ce critère, mais CloudFlare est probablement l’acteur le plus réactif dans ce domaine. Si vous gérez des sites web et que vous changez régulièrement leurs adresses IP, utiliser ce nouvel acteur devrait vous apporter une meilleure réactivité.

Image CloudFlare.

Au-delà de ses performances, le DNS de CloudFlare se veut aussi mieux sécurisé que ses concurrents. En règle générale, l’accès à un serveur DNS et le relai vers un autre serveur ne sont pas sécurisés, tout se fait en clair. Ce qui fait que votre fournisseur d’accès peut obtenir la liste de tous les sites que vous visitez, même s’ils sont correctement protégés en HTTPS, puisque la connexion entre votre appareil et le serveur n’est pas protégée, elle. Au passage, c’est aussi ce qui permet à un pays de bloquer un site en particulier, mais c’est impossible si on utilise un DNS sécurisé.

CloudFlare a construit son service pour qu’il maintienne une connexion chiffrée de bout en bout. Deux technologies différentes sont proposées, tous les détails sont disponibles à cette adresse pour les développeurs qui souhaitent en bénéficier. Il faudra que les navigateurs soient mis à jour pour les prendre en charge, mais c’est une première étape essentielle.

Ajoutons que l’entreprise s’engage sur plusieurs points en matière de vie privée. Les données personnelles collectées par le service ne seront pas utilisées à des fins commerciales et elles ne seront conservées que pendant 24 heures, exclusivement pour un usage interne et technique.

Les DNS de CloudFlare configurés sur macOS : dans les Préférences Système, ouvrez le panneau Réseau, puis cliquez sur le bouton « Avancé » correspondant à votre connexion actuelle ; dans l’onglet DNS, saisissez les deux IP données par CloudFlare (1.1.1.1 en premier et 1.0.0.1 en deuxième).

Si vous voulez essayer 1.1.1.1, vous trouverez les instructions pour configurer votre ordinateur, tablette ou smartphone, ou même votre routeur, sur le site du projet.

Tags
avatar imrfreeze | 

Bon je viens de pinger le DNS de Google et le DNS de CloudFlare et c’est Google qui gagne à ce jeu la. Ce test est-il concluant ou est ce qu’il ne vaut rien puisque l’on ne sait pas combien de temps mettrait le serveur à faire la conversion DNS ? Comment tester la vitesse de conversion ?

avatar A884126 | 

@imrfreeze

Le logiciel le plus complet sur Mac pour le reste des DNS est "namebench"

avatar MerkoRiko | 

Question : ce DNS, on peut le mettre sur une Freebox revolution?
ou je le mets sur mon MBA qui est tout le temps en wifi?
quid de mon vieux MBP qui lui est en ethernet en direct sur la Freebox?
Merci pour vos réponses.... suis ignare sur ces sujets...

avatar Smoky | 

Tu vas sur Freebox OS / paramètres de la Freebox / DHCP / DNS et tu paramètres directement pour tout le réseau ;)

avatar MerkoRiko | 

@Smoky

Ok, merci...ai fait la manip', je ne vois pas trop d'améliorations très significatives...

avatar laurrent-m | 

Donc si je veux que tous les appareils se connectent à ce DNS sans faire les réglages dans l’appareil je peux le faire sur le routeur ?

avatar A884126 | 

@laurrent-m

Oui.

Le routeur du FAI s'il offre la possibilité ou sur un autre comme la Time Capsule.

avatar jojo5757 | 

J'ai un Raspberry qui fait dns (il se connecte sur les dns mondiaux) ca évite les dns menteurs des providers et d'envoyer des infos à Google. Et j'ai rajouté un filtre anti pubs qui filtre déjà en amont les pubs avec une mise mise à jour automatiquement...

avatar YuYu | 

J'ai une question bête que je me suis toujours posé (sans jamais la poser) :
Y a t-il une différence à paramétrer un nouveau serveur DNS sur le routeur de la maison (via la configuration de la box) ou via les différents devices utilisés ?

En gros, si je change le serveur DNS dans macOS, est-ce que cela est répercuté aussi sur mon routeur ou pas ?
A l'inverse, si je change cela sur le routeur, est-ce que mes devices se serviront de ce nouveau paramétrage ?

avatar bibi81 | 

En gros, si je change le serveur DNS dans macOS, est-ce que cela est répercuté aussi sur mon routeur ou pas ?

Non

A l'inverse, si je change cela sur le routeur, est-ce que mes devices se serviront de ce nouveau paramétrage ?

Si les devices sont configurés pour prendre la configuration du routeur alors ça se propage (en général c'est le cas), sinon, non.

avatar YuYu | 

@bibi81

Donc l’idée pour être sûr c’est de changer cela sur le routeur et sur chaque appareil ?

avatar A884126 | 

@YuYu

Oui.

avatar LeSpace | 

J'utilise pour ma part Quad9 DNS.

avatar kdarmon | 

@LeSpace

J’utilise aussi Quad9 mais quelqu’un saurait me dire les différences entre Quad9 et celui de Cloudflare ? Mise a part le temps de réponse qui peut parfois être lent chez Quad9

avatar LeSpace | 

Quad9 est une organisation à but non lucratif. Ce qui est déjà pas mal il me semble.
L'orientation de la politique également. Ce n'est pas parce que les deux groupes proposent un service équivalent qu'ils se dirigent tous les deux dans la même direction.

Dans mon cas, je ne suis pas sur de trouver intéressant de gagner quelques millisecondes...

Tu parles de lenteurs chez Quad9. C'est une lenteur relative face aux concurrents (on parle de millisecondes) ou tu as déjà eu des problèmes ?
Je n'ai pas remarqué d'anomalies de mon coté.

avatar kdarmon | 

@LeSpace

Non c’est une lenteur relative ca arrive rarement et ca ne me gêne pas.

Ce qui m’intrigue le plus entre ces deux compagnies sont la sécurité et le respect de la vie privée c’est principalement pour ca que j’utilise Quad9 ?

avatar LeSpace | 

Du coup, je resterai sur Quad9 qui ne sont pas là pour gagner de l'argent et dont le respect de la vie privée et la sécurité sont les buts premier.
Contrairement à Cloudflare qui est une entreprise commerciale. Bon après, Cloudflare sont peut être très vertueux également...

avatar r e m y | 

@LeSpace

Tout est dans le "peut-être"...
Moi, tant que je ne comprends pas en quoi une entreprise est intéressée à ce que je passe toutes ma navigation internet par ses serveurs, je passe mon chemin.

avatar LoydD | 

La photo de promotion est très laide

avatar KorE | 

Quand on possède Freebox Crystal + Time Capsule, c’est bien sur la Time Capsule qu’il faut changer le DNS?

avatar A884126 | 

@KorE

Su c'est la TC qui donne l'adressage IP, alors oui il faut changer les DNS dans les paramétrages.

avatar victoireviclaux | 

On peut changer de DNS à partir du modem ? Genre celle de la Freebox ?

avatar A884126 | 

@victoireviclaux

Sur la FB à priori oui. Sur la Live box ou la Bbox à priori non.

avatar Le docteur | 

Ça tombe bien, cette histoire.
Je suis emmerdé avec des problèmes de DNS depuis que Free m’a déménagé vers un nouveau NRA plus proche. Mon débit a été multiplié par 5, mais je me tapais des erreurs à répétition essentiellement pour tous les services Apple (iTunes, App Store, Cloud ..).
J’ai changé pour un DNS associatif et ça m’a changé la vie. Celui-ci pourrait être la solution, mais une question me turlupine : qu’ils gagnent-ils ? (ce nouveau service) Ils ne font pas ça par bonté d’âme ?

Sinon de quelle censure parlez-vous ? On censure des trucs en France ???

avatar coink | 

feu T411 était censuré sur les DNS des ISP...

avatar Le docteur | 

Oui, enfin bon, si c'est ça la censure.

avatar coink | 

Question de principe. Les DNS des ISP peuvent être controlés par un pouvoir politique, donc a ne pas utiliser.

avatar r e m y | 

@coink

Parce que ce n'est pas le cas d'une autre entreprise???

Et cette entreprise, ... QUI la contrôle ?
Et quitte à faire dans la parano,
Qu'est-ce qui te dit que ses DNS ne redirigent pas certaines demandes vers des sites de phishing?

avatar coink | 

@r e m y

Dans ce cas TU peux héberger ton propre serveur DNS.
Internet est ainsi fait...

avatar r e m y | 

@Le docteur

C'est la bonne question .... que gagnent-ils?
Suivre à la trace et historiser toute ta navigation internet, quelque chose me dit que ça a une GROSSE valeur commerciale, mais je me trompe certainement!

avatar aunisien | 

Est-il mieux que Quad9 ?

avatar kdarmon | 

@aunisien

Je me pose la même question

avatar Moumou92 (non vérifié) | 

Change sur ma freebox, nickel, je n’avais plus accès aux sites Apple (Apple Music, itune store...) depuis ma freebox depuis quelque temps, je ne savais pas pourquoi... cela semble fonctionner...

Par contre je regardais myCANAL qui vient de me jeter sans raison après 30 minutes : localisé à l’étranger... j’ai switché sur Molotov mais j’espère que ce n’est qu’un bug sans lien...

avatar r e m y | 

@Moumou92

Tu as utilisé le VPN ou le serveur DNS de CloudFlare?
Parce que autant passer par un VPN peut changer ta localisation apparente, autant un serveur DNS ne peut pas avoir cet impact car seul ton Mac communique avec le DNS pour obtenir l'adresse IP du site visé. C'est transparent pour le site auquel tu te connectes qu ne sait pas auprès de quel DNS tu as obtenu son IP!

avatar pecos | 

Merci beaucoup pour la news.
Ça c'est du journalisme utile (et de ma part, croyez moi c'est plus qu'un compliment...)

Revenons à nos moutons :

Ça faisait 6 mois que cette saleté de box OVH télécom était incapable de me donner plus d'une ou deux connexions à "pop.orange.fr" par jour.

Tant avec les DNS d'OVH qu'avec ceux de Google.
Et sur Snow, Mavericks ou Sierra.
Et bien entendu en utilisant le PAM de mon téléphone android RED, ça marchait comme sur des roulettes.

Hé bien devinez : en mettant 1.1.1.1 dans les DNS de ma box, tout baigne :
Je peux enfin relever mon courrier orange plus d'une ou deux fois par jour !!!

ALLELUIA !!!

avatar Phil1982 | 

Du macg a l'ancienne ca fait plaisir. Merci pour l'info :)!

avatar TheUMan | 

Les DNS fournis par Orange sont catastrophiques. On dirait qu'ils ne sont jamais mis à jour voir controlés/surveillés ?! S'ils fonctionnaient bien, on aurait pas à se poser la question d'en changer...

avatar devkid | 

Merci pour l'article !

Je rappelle en plus les DNS d'IBM récent sur le 9.9.9.9.

Et je ne saurais par contre que trop vous conseiller la multitude de DNS proposé par la communauté d'OPENNiC dont la priorité est la lutte contre la censure et/ou l'absence de collecte de données.
Vous pouvez choisir vos DNS par pays, les trois DNS les plus proches de vous étant proposé sur leur page d'accueil.

avatar nicoula | 

Je ne comprends pas vraiment l'article sur la question de la rapidité.
En effet il y a peut être une résolution plus rapide des noms de domain à vérifier la méthode utilisée pour le déterminer cela dépend de pas mal de choses (cache dans le resolveur, et accès au serveur dns qui fait autorité si non présent dans le cache)

sh-3.2# dig www.nytimes.com @1.1.1.1 |grep "Query time"
;; Query time: 16 msec
sh-3.2# dig www.nytimes.com @8.8.8.8 |grep "Query time"
;; Query time: 32 msec
sh-3.2# dig www.toto.com @8.8.8.8 |grep "Query time"
;; Query time: 530 msec
sh-3.2# dig www.toto.com @1.1.1.1 |grep "Query time"
;; Query time: 562 msec

Par contre le traceroute de l'article ne permet pas de le confirmer... La route ne change pas en fonction du serveur DNS utilisé.
Donc je ne vois pas ce que vient faire le traceroute dans l'article.

avatar iDanny | 

Personne ne se demande comment ils ont pu se voir attribuer une adresse aussi « culte » que 1.1.1.1 ? ?

J’imaginais que c’était le genre d’adresse réservée depuis 30 ans à un serveur du CERN, ou un truc du genre ?

avatar Stvcc | 

En bref . . .
Pour une machine non relier à un domaine , un appareil itinérant on place comme premier DNS celui de CloudFlare et ensuite celui de Google et ainsi on diminue le risque de panne de résolution d'addresse

C'est pas une mauvaise chose que d'avoir plus d'une alternative comme DNS publique

Pages

CONNEXION UTILISATEUR