Comme le bloqueur capture les requêtes DNS avant qu’elles ne soient transmises à la fonction du système qui émet la requête DNS, il est indépendant du type de serveur DNS utilisé par le système ou défini par une application indépendante : DNS classique sur le port UDP 53 ou tout autre, DNS sur TLS (DoT), DNS sur HTTPS (DoH), etc. Ce que nous ne supportons pas, c’est DoH lorsqu’il est intégré nativement dans les applications, c’est-à-dire lorsqu’une application communique directement avec un serveur DoH, sans demander la résolution du nom au système. Il faudrait décrypter les paquets HTTPS entre une telle application et le serveur DoH, ce qui pourrait créer une grande faille de sécurité.
