DNS public et DNS privé : quelle est la différence ?

Chacun travaille à décoder les noms et les adresses. Un serveur de noms existe sur Internet et fonctionne comme un type d’annuaire téléphonique, en échangeant les noms de domaine lisibles par les humains (par exemple, ibm.com) en adresses IP numériques, que les machines peuvent ensuite interpréter. Il s’agit d’un processus de mise en correspondance essentiel qui permet aux navigateurs Web de trouver exactement les bonnes destinations Web que les utilisateurs recherchent.

Voici les étapes du fonctionnement d’un DNS public : 

1. Les activités de résolution de noms commencent lorsqu’un utilisateur demande un nom de domaine. Les utilisateurs saisissent des requêtes DNS en saisissant une adresse de site Web dans leur navigateur préféré.
2. L’appareil de l’utilisateur (également appelé point de terminaison) effectue une vérification DNS locale pour voir si le cache de l’appareil ou les serveurs DNS locaux contiennent déjà une adresse IP correspondant à ce domaine.
3. Lorsque la vérification DNS locale ne trouve pas de correspondance, la requête est transmise à un résolveur DNS récursif. Le résolveur est souvent fourni par un fournisseur d’accès à Internet (FAI) ou par un service DNS public, par exemple via des fournisseurs DNS comme Google ou Cloudflare.
4. Le résolveur contacte un serveur de noms racine qui dirige les requêtes DNS en les guidant vers un serveur de domaine de premier niveau (TLD) capable de traiter la requête.
5. Ensuite, le résolveur envoie une requête au serveur TLD, qui à son tour se réfère au serveur de noms faisant autorité pour ce domaine particulier.
6. Le serveur de noms faisant autorité en question réserve cette adresse IP pour le site Web et la transmet au résolveur récursif.
7. Le résolveur charge les données DNS dans le cache DNS pour une utilisation ultérieure, puis il renvoie l’adresse IP approuvée à l’appareil qui a émis la requête initiale.
8. Le processus de résolution DNS est maintenant terminé. Le navigateur de l’appareil peut désormais se connecter au serveur Web via cette adresse IP et télécharger le contenu du site Web.

Les va-et-vient entre les transmissions pour obtenir une adresse URL utilisable sont nombreux. Ce qui est étonnant, c’est la rapidité avec laquelle toutes ces réponses DNS sont effectuées.

À quelle vitesse ? Cela dépend en partie de problèmes liés aux performances, tels que la connectivité et la latence de transmission. À son moment le plus lent, le processus DNS public peut nécessiter quelques secondes. Cependant, à sa vitesse maximale, ce même processus peut prendre quelques millisecondes.

Une fois que l’adresse IP a été correctement négociée et établie, l’utilisateur accède à l’adresse IP. Avant que le contenu ne commence à être téléchargé en tant qu’enregistrement DNS, il se voit attribuer une désignation de durée de vie (TTL), un paramètre qui contrôle le nombre de téléchargements pour les mêmes enregistrements DNS.

Les TTL sont installés pour empêcher le contenu en ligne d’y exister pendant des périodes excessivement longues. Les TTL fonctionnent comme un compteur qui indique chaque fois que vous accédez à du contenu en ligne. Lorsque le compteur atteint zéro, ce contenu est rendu indisponible pour l’utilisateur.

Lorsqu’une entreprise ou un individu opte pour une confidentialité maximale en utilisant son propre DNS, le processus régissant son fonctionnement nécessite moins d’étapes. Le processus a également tendance à se déplacer beaucoup plus vite que la vitesse opérationnelle des services DNS publics. Il y parvient en grande partie grâce à l’isolation imposée.

Le terme « DNS privé » a deux significations spécifiques, qui dépendent de l’endroit et de la manière dont le DNS privé est mis en œuvre. Il peut faire référence aux zones DNS privées exploitées dans un environnement de cloud computing afin qu’elles puissent accéder à des ressources internes. Il peut également s’agir d’un service DNS privé et interne exécuté sur l’appareil d’un utilisateur pour se prémunir contre des contenus spécifiques et aider au chiffrement des requêtes.

Le processus de recherche et de résolution de noms pour les zones DNS privées se résume aux étapes suivantes :

1. L’utilisateur saisit une adresse Web (par exemple, www.exemple.com) dans son navigateur Web.
2. L’appareil utilisé émet une requête DNS, recherchant l’adresse IP correspondant à ce site Web.
3. C’est là que les chemins du DNS public et du DNS privé divergent complètement. L’appareil utilise un tunnel chiffré pour accéder à un serveur DNS privé (contrairement au DNS public, qui utilise une requête chiffrée). Les protocoles internes sécurisés tels que DNS sur TLS (DoT) ou DNS sur HTTPS (DoH) fournissent les canaux sécurisés requis. Les réseaux privés virtuels (VPN) remplissent la même fonctionnalité de chiffrement avec l’aide d’un fournisseur VPN.
4. Le serveur DNS privé reçoit la requête chiffrée et la traite en localisant l’adresse IP correcte et en la transmettant à l’appareil d’origine en utilisant la même connexion chiffrée sécurisée.
5. Avec l’adresse IP correcte renvoyée à l’appareil, celui-ci se connecte en toute sécurité au serveur du site Web.

Les six domaines de comparaison directe présentent avec précision les différences majeures (et les similitudes subtiles) entre le DNS public et le DNS privé.

L’objectif général du DNS public et du DNS privé est très similaire : les deux traduisent des noms de domaine.

Un DNS public décode les noms de domaine publics en adresses IP publiques appropriées, ce qui permet aux utilisateurs d’accéder à ces sites sur Internet.

De l’autre côté, un DNS privé traduit les noms DNS utilisés en interne en adresses IP internes, permettant ainsi aux différentes entités au sein de ce groupe ou de cette entreprise d’interagir efficacement.

La sécurité est un facteur important dans ce comparatif. Après tout, la sécurité est la principale raison pour laquelle nous disposons d’une technologie DNS privée. Les entreprises nécessitant une sécurité maximale choisissent généralement d’utiliser un DNS privé, qui masque les détails du réseau de l’Internet public.

La sécurité du DNS public offre beaucoup moins de mesures de protection, mais compense ce déséquilibre avec d’autres fonctionnalités conçues pour se prémunir contre les tentatives de phishing et les logiciels malveillants.

Les développeurs utilisent régulièrement le protocole Domain Name System Security Extensions (DNSSEC) pour renforcer les protocoles de sécurité DNS en ajoutant des signatures numériques. Les mesures de sécurité Internet traditionnelles, telles que les pare-feu, peuvent être mises en œuvre avec le DNS public et le DNS privé. 

Lorsqu’il s’agit de savoir qui peut accéder à un DNS particulier, tout dépend du type de DNS dont on parle. S’il s’agit du DNS public, il est accessible par toute personne disposant d’un accès Internet.

En revanche, dans le cas d’un DNS privé, l’accès est généralement étroitement contrôlé et repose sur l’accès sur site. En outre, l’accès est limité aux utilisateurs spécifiques d’un réseau interne, tels que les employés sur un site de l’entreprise ou via un cloud privé virtuel.

Pour accéder aux informations, les administrateurs réseau utilisent un outil de requête comme nslookup (recherche de serveur de noms) pour rechercher des adresses IP et exécuter des activités générales de dépannage par le biais de prompts.

Qui contrôle et exploite le serveur qui sera utilisé ? La réponse est simple pour les DSN privés : c’est l’entreprise ou le groupe qui exploite ce réseau interne. Ils gèrent et contrôlent tous les serveurs DNS privés.

Dans le cas d’un DNS public, un fournisseur d’accès à Internet (FAI) ou un fournisseur tiers tel que Cloudflare ou Google exploite le serveur. Dans les deux cas, une entité externe conserve le contrôle direct sur le serveur.

La performance n’est plus une question aussi tranchée qu’elle l’a été par le passé. Auparavant, il était évident que le DNS privé offrait des performances plus rapides que le DNS public. Après tout, les informations recherchées par le biais des requêtes internes avaient moins de distance à parcourir si elles étaient contenues sur un réseau privé, minimisant ainsi le problème de latence.

Cependant, le niveau de performance nécessaire pour atteindre des vitesses ultra-rapides sur le DNS public est désormais souvent plus abordable, selon le fournisseur de service. Cet essor est dû aux réseaux mondiaux qui offrent une plus grande vitesse et une transmission plus stable. Déterminer si le DNS public ou le DNS privé offre de meilleures performances dépend généralement en grande partie du réseau en question.

Il s’agit d’un domaine où le DNS privé offre beaucoup plus d’options que le DNS public. Un DNS privé permet à un groupe ou une entreprise de créer des configurations personnalisées en fonction de ses besoins. Le DNS personnalisé peut inclure la possibilité d’exécuter des schémas de noms de domaine personnalisés ou même d’effectuer un filtrage de contenu.

Le DNS public, lui, est limité dans les options de personnalisation qu’il offre. Les développeurs créent des configurations sous une forme standard pour tous les utilisateurs du DNS public.

Des changements importants ont eu lieu dans le DNS et continueront à se produire à mesure que la technologie connexe continue de progresser et tente de suivre le rythme de l’expansion mondiale des utilisateurs.

Prenons l’exemple du protocole de routage Internet IPv4. L’IPv4 (Internet Protocol version 4) a été développé au cours des années 1970 et officiellement introduit au début des années 1980, avant la révolution de l’Internet. Les adresses IPv4 sont des étiquettes numériques de 32 bits qui peuvent être attribuées à tout appareil se connectant à un réseau informatique et sont essentielles pour assurer la communication et le routage. Les adresses IPv4 sont exprimées sous la forme de longues chaînes de nombres, séparées à différents intervalles par des points.

D’après les lois de la probabilité, nous pouvons calculer qu’avec le nombre d’entiers contenus dans chaque adresse IPv4, environ 4,3 milliards d’adresses sont possibles. Même ce nombre imposant s’est avéré insuffisant pour faire face à la quantité toujours plus importante d’appareils technologiques qui doivent être connectés aux réseaux.

C’est là qu’entre en jeu l’IPv6 (Internet Protocol version 6), introduit en 1995 pour atténuer cette situation de « surcharge ». La première chose que vous remarquez en comparant les deux protocoles, c’est le volume plus imposant de l’IPv6, qui offre des adresses de 128 bits exactement 4 fois plus grandes que leurs homologues IPv4.

Cette augmentation conduit à un nombre d’adresses possibles si étendu qu’il est difficile de le visualiser. Ce chiffre est de 340 sextillions, calculés comme 3,4 x 10 puissance 38, et exprimés numériquement comme 3,4 suivi de 38 zéros. Il est difficile d’imaginer qu’une piscine avec autant d’eau se retrouve un jour entièrement vidée. Mais l’utilisation de l’ordinateur dans le monde est telle que sa croissance sans précédent a suscité une réponse aussi importante.

En plus de fournir un espace d’adresse quatre fois plus large que l’IPv4, l’IPv6 inclut la configuration automatique d’adresse sans état (SLAAC). Cette fonctionnalité permet aux appareils de configurer leurs propres adresses IP sans dépendre d’un serveur DHCP externe, ce qui réduit également le trafic réseau.

L’IPv6 utilise également un type amélioré d’enregistrement DNS qui fait correspondre un nom de domaine à une adresse IPv6 appropriée. Cet enregistrement DNS est appelé « AAAA » et représente un pas en avant considérable par rapport à un « enregistrement A », qui est l’enregistrement DNS contenant une adresse IPv4 appropriée. La différence entre un enregistrement AAAA (parfois appelé Quad-A-Record) et un enregistrement A réside en grande partie dans la capacité accrue qui permet aux AAAA de prendre en charge les identifiants de 128 bits.

L’un des moyens par lesquels les enregistrements A et les enregistrements AAAA peuvent être efficacement remplacés est de créer un CNAME (qui signifie nom canonique). Un CNAME est un type d’enregistrement DNS qui fonctionne comme un alias pour certains domaines ou sous-domaines. Une légère restriction qui doit être notée est qu’un nom d’hôte avec un CNAME ne peut pas permettre l’activation d’enregistrements A ou d’enregistrements AAAA qui portent déjà ce nom.

L’IPv6 n’est pas le seul protocole clé à être mis à jour au fil du temps. Le protocole TLS (Transport Layer Security) est un protocole hautement chiffré qui protège les communications Web et sur d’autres réseaux. Le TLS est une mise à niveau survenue en 1999 d’un protocole antérieur appelé Secure Sockets Layer (SSL). Comme le SSL, le TLS permet d’authentifier les utilisateurs, de mettre fin aux accès non autorisés et de maintenir et de vérifier l’intégrité des données.