Tout comme 1.1.1.1 (CloudFlare), 9.9.9.9 (Quad9) ou 8.8.8.8 (GoogleDNS), NextDNS propose un résolveur DNS public accessible en DOH/DOT (DNS chiffrés): https://nextdns.io/
(Mais encore une fois, rappelons-le: Cette société verra toutes vos requêtes DNS !)

Le petit plus par rapport aux autres: Vous pouvez optionnellement vous créer un compte pour:
- avoir des statistiques et des logs sur vos requêtes DNS.
- choisir ce que vous voulez bloquer:
    - vous pouvez sélectionner des listes de blocage prédéfinies (AdAway, EaysListFR, etc.)
    - vous pouvez manuellement bloquer (blacklist) ou autoriser (whitelist) des domaines ou des hosts particuliers.
    - activer le contrôle parental (blocage sites porno, etc.)
    - possibilité de bloquer sélectivement certaines applications/sites connus: Facebook, Minecraft, TikTok, WhatsApp, Roblox, Netflix...
    - etc.
- vous avez la possibilité de stocker vos logs sur des serveurs européens.
- et quelques options utiles (bloquer le DNS Local Rebinding, bloquer les domaines enregistrés depuis moins de 30 jours, bloquer les domaines parkés, blocage des domaines dynamiquement générés par les algos des malwares, etc.)

Bref... ça ressemble énormément à ce que propose OpenDNS depuis longtemps, mais avec DOH+DOT et quelques options supplémentaires sympathiques.

Donc ça peut être intéressant:
- Si vous ne voulez pas installer un PiHole chez vous.
- Si vous êtes en vadrouille.

C'est utilisable sous Windows, Linux, MacOSX, Android, etc.
Notez que sous Android 9+, c'est utilisable sans logiciel additionnel.
Sous Android, DNSFilter peut très bien être configuré pour utiliser les serveurs DNS DOH/DOT de NextDNS, offrant ainsi ceintures et bretelles (filtrage local avec la liste de votre choix + filtrage et logs par NextDNS).

Même s'ils proposent une large sélection de listes de blocage, je regrette qu'on ne puisse pas importer sa propre liste.

Bref... NextDNS peut être très utile en déplacement, ou si vous ne vous sentez pas d'installer un PiHole ou autre filtrage DNS vous-même.

EDIT: NextDNS est désormais payant au delà d'un certain trafic.

Dans ma liste de blocage DNS (https://sebsauvage.net/wiki/doku.php?id=dns-blocklist), parmis les sources j'utilisais https://hosts-file.net/ad_servers.txt
C'était une liste de domaines liés à la publicité. Mais cette liste n'est désormais plus maintenue. Dommage.
Je l'ai remplacée - à titre expérimental - par la liste 1Hosts. Ma liste de blocage a été regénérée avec cette nouvelle source.
N'hésitez pas à me dire si vous voyez des problèmes: https://sebsauvage.net/wiki/doku.php?id=dns-blocklist

Oh tiens c'est bien ça: La nouvelle version de DNSFilter sous Android fait désormais la résolution CNAME récursive.
Ça devrait permettre de bloquer plus de trackers first-party (enfin du moins ceux dont le CNAME pointe vraiment vers un tracker).
https://f-droid.org/fr/packages/dnsfilter.android/

Uho.... l'ICANN a vendu la gestion du .org à Private Equity. Qui aura le droit de pratiquer les tarifs qu'il veut.
(via https://hostux.social/@R1Rail/103136762300814945)
EDIT: Article en français: https://www.numerama.com/tech/572175-org-lun-des-plus-vieux-domaines-du-web-en-danger.html

Bon tiens, un autre résolveur DNS libre d'accès, à examiner de plus près. Il support DoH (DNS over HTTPS) et DoT (DNS over TLS).
Voir aussi : https://sebsauvage.net/wiki/doku.php?id=dns-alternatifs

Oh ben ça ! Notre Stéphane Bortzmeyer national a mis en place un serveur DNS qui fait du DoH (DNS-over-HTTP) ouvert à tous : doh.bortzmeyer.fr
Et pour DOT: dot.bortzmeyer.fr

Ah ben ça c'est clair, avec le chiffrement DNS, notre cher gouvernement ne va pas apprécier de ne plus pouvoir censurer des sites web.
Du coup j'ai un peu peur qu'il passe au cran supérieur (DPI, MITM ou n'importe quelle autre horreur orwellienne).

Les listes de blocage sont un moyen de réduire notablement le pourrissement des machines (publicité, spyware, malware, tracking…) avec un minimum d'efforts.
===> Sous Android, ça permet permet d'éliminer d'un coup la quasi-totalité des publicités et traqueurs dans les applications.
Comme je n'étais pas satisfait des listes existantes, j'ai fait ma propre liste en agrégeant des sources existantes réputées.
J'ai également expliqué ce que bloque cette liste (et pourquoi je ne fais pas confiance à des listes comme "Energized" fournie par défaut dans Blokada).

Tuto pour utiliser Unbound comme serveur de cache DNS local, et surtout s'arranger pour qu'en sortant il fasse du DNS-over-TLS.

Serveur DNS ouvert: 80.67.188.188
EDIT: Voir https://sebsauvage.net/links/?UsvQBQ

Sous le coude: un vendeur de noms de domaine qui met l'accent sur la protection de l'identité et la vie privée des acheteurs de domaines.
Ça peut être utile.
Note: Selon les registry (donc selon les TLD: .com/.net/.eu/.fr...) les règles de confidentialité et de diffusion des identités dans les registres DNS diffèrent.
Votre nom, prénom, adresse et téléphone peuvent se retrouver exposés.

Si depuis la dernière mise à jour de Linux unbound ne semble plus fonctionner:
>nslookup google.fr 127.0.0.1
** server can't find google.fr: SERVFAIL

C'est un soucis au niveau des clés root DNS (probablement le fichier /var/lib/unbound/root.key qui a disparu, ou alors il ne correspond pas aux serveurs DNS vers lesquels vous forwardez).
Vous devriez voir dans syslog:
   Mar 08 08:50:12 mycomputer unbound: [2060:0] info: failed to prime trust anchor -- DNSKEY rrset is not secure . DNSKEY IN

Solution bourrin: désactiver DNSSEC.

Dans votre conf unbound, dans la section "server:", ajoutez une ligne:
domain-insecure: *

Et dans /etc/unbound/unbound.conf.d/root-auto-trust-anchor-file.conf, commentez la ligne:
   #auto-trust-anchor-file: "/var/lib/unbound/root.key"

Puis un petit:
sudo service unbound restart

et ça devrait être reparti...

EDIT: Si vous voulez garder DNSSEC, regardez du côté de unbound-anchor : https://www.cambus.net/dnssec-validation-at-the-router-level-with-openwrt/

Cet article vous montre que les "simples" requêtes DNS qui sortent de votre machine en disent déjà long sur vous: opinions politiques, soucis de santé, orientation sexuelle, endroit où vous comptez passer vos vacances... on peut en déduire un grand nombre de choses.
Alors évitez de donner toutes ces informations à Google en utilisant leurs serveurs DNS. Évitez aussi ceux d'OpenDNS (désormais aux mains de Cisco). Et arrêtez de conseiller à tout le monde d'utiliser ces serveurs.

Quoi faire ?
1) Déjà, utiliser ceux de FDN, gérés par des gens bien, et non censurés: https://www.fdn.fr/actions/dns/
2) Ensuite réduire la quantité de requêtes DNS qui sortent de votre machine (par exemple en installant unbound sous Linux: http://sebsauvage.net/wiki/doku.php?id=mint_customization_17_3#installer_un_cache_dns_local_unbound )

Oui la technologie c'est compliqué, et il est difficile d'expliquer au profane tout ce qui peut laisser fuiter sa vie privée. Pas évident d'expliquer l'importance de ne pas utiliser les DNS de Google, ou encore des choses plus obscures comme les risques de WebRTC ou les supercookies.  *soupir*

Ah soyez gentils, si vous êtes sous Linux, installez unbound pour décharger les serveurs DNS de FDN, ça sera sympa.

La clé racine des DNS va être changée. C'est pas le moment de se merder.
(J'imagine l'horrible pression sur les gars qui participent à la cérémonie de signature des clés.)

Un site qui recense les domaines qui vont ou ont expiré, à quelques heures près:
- L'onglet "Expired" montre les domaines sur le point d'expirer, et dans combien de temps.
- L'onglet "Dropped" montre les domaines qui viennent d'expirer, et depuis combien de temps.

Cette page vous donne les serveurs DNS non-censurés les plus proches et librement accessibles. Vous n'avez plus qu'à les configurer.
Note: Pour Android, il vous suffit de prendre cette petite application (pas besoin d'être root): https://play.google.com/store/apps/details?id=htmt.changedns

EDIT: Complément pour DNSSEC: http://www.mypersonnaldata.eu/shaarli/?BtCxMA

Je comprend le point de vue de S.B. sur OpenDNS (modèle économique, subpoena et tout ça)... mais conseiller GoogleDNS à la place ?  WTF ???
Je préfère encore prendre OpenNIC (http://www.opennicproject.org/)
EDIT: BohwaZ me conseille http://www.orsn.org/

Article détaillant techniquement la censure DNS du gouvernement français. (et « il envoie ses clients vers un site qui saura si on aime les potamochères, »  AAAhhhhh !... le potamochère, quel animal attachant X-D )

Donc ils font la guerre *pour* la liberté en se donnant le droit de censurer arbitrairement n'importe quel sites web (sur liste secrète) sans contrôle d'un juge.  Si ça c'est pas du foutage de gueule. On a pas la même définition de la liberté.
Ce filtrage sera fait au niveau DNS. Donc je n'utiliserai plus les DNS des FAI français, c'est tout.

Voici donc une liste de DNS n'étant pas soumis au gouvernement français (je ne les ai pas tous testé):
 • OpenNIC: 216.87.84.211 et 23.90.4.6 (http://www.opennicproject.org/)
 • OpenDNS: 208.67.222.222 et 208.67.220.220 (http://www.opendns.com/)
 • Comodo: 8.26.56.26 et 8.20.247.20 (https://www.comodo.com/secure-dns/)
 • DNS Advantage: 156.154.70.1 et  156.154.71.1 (http://www.neustar.biz/services/dns-services/free-recursive-dns)
 • Norton ConnectSafe: 199.85.126.10 et 199.85.127.10 (https://dns.norton.com/)
 • Google-les-grandes-oreilles: 8.8.8.8 et 8.8.4.4 (https://developers.google.com/speed/public-dns/)
 • GreenTeamDNS: 81.218.119.11 et 209.88.198.133(http://www.greentm.co.uk/)
 • DNSWatch : 84.200.69.80 et 84.200.70.40 (https://dns.watch/) (pas de logs)

Notez que bien entendu, certains de ces DNS sont sous la coupe d'autres gouvernements, et que certains ont même des options de filtrage (malwares, botnets, certaines catégories de sites). Certains de ces DNS (par exemple OpenDNS) vous permettent de changer les options de filtrage.

Auparavant, quand vous tapiez un nom de domaine qui n'existait pas, OpenDNS vous redirigeait vers une page de résultats probables (avec un peu de publicité).
Cette publicité va disparaître.  (Donc en principe, vous recevrez une réponse propre "domaine inexistant" pour les domaines qui n'existent pas sans avoir à le configurer dans votre interface OpenDNS. Ce sera la configuration par défaut.)
La raison ?  OpenDNS est désormais rentable avec les services "pro" entreprise.

OOOHHH !... ben ça c'est bien alors.  Les USA vont enfin lâcher le contrôle de l'ICANN. Par contre, l'organisme à qui il sera confié est encore à définir.

Petits arrangements entre amis: Il semble qu'un politique mexicain ait fait fermer un site d'opposition en demandant discrètement à ses amis de l'ambassade américaine de faire saisir le nom de domaine.
Nous voici donc en présence d'un exemple concret de censure rendue possible à cause de la centralisation des registres DNS dans un pays précis (ici: le .org dont le registre est aux USA).

Rhhââ... putain, j'avais pas fait gaffe: VeriSign augmente de 10% les domaines en .net/org/biz/info/name.   >:-(

TL;DR Article technique expliquant le principe du fast-flux.