Et comme l'indique l'auteur : « Tout cela n'était que des solutions techniques car cet article se focalise sur l'aspect technique des choses. Mais, évidemment, le problème de fond est politique et c'est dans des changements politiques profonds qu'il faut chercher les vraies solutions. Il n'est pas normal qu'il faille être expert en crypto pour avoir une vie privée ! »
Article très détaillé et très bien expliqué sur la mise en place d'un service DoT et DoH (respectivement DNS over TLS et DNS over HTTPS) et sur son fonctionnement, avec en prime des outils pour vérifications, analyse, suivi de l'état du système.
Merci encore à Bortzmeyer.
Un petit rappel concernant DKIM, un protocole qui permet de vérifier l’authenticité d’un courriel.
TL;DR: NE PAS utiliser des clefs de moins de 1024 bits.
Toutefois, ma question concernait une taille de clef plus longue, comme 2048 ou 4096 comme utilisées pour les certificats TLS, si ça risque de poser problème avec les tailles des requêtes DNS.
D'ailleurs, pour pouvoir profiter de Forward-Secrety, il suffit de retirer le chiffrement RSA pour l'échange de clefs symétriques, avec "!kRSA", comme ceci (liste fonctionnant avec OpenSSL en version 1.0.2f actuellement) :
HIGH:!kRSA:!DHE:!DH:!SSLv3:!SSLv2:!RC4:!aNULL:!eNULL:!EXPORT:!3DES:!DES:!SHA1:!MD5
Pour retirer le chiffrement AES128, il suffit de rajouter ":!AES128" à la liste, mais les navigateurs actuels ne fonctionnent pas sans.