Di solito, le query DNS vengono inviate in chiaro. Chiunque sia in ascolto su Internet può vedere a quali siti Web ti stai connettendo.
Per assicurarti che le tue query DNS rimangano private, devi utilizzare un resolver che supporti il trasporto DNS sicuro come DNS over HTTPS (DoH) o DNS over TLS (DoT).
Il resolver 1.1.1.1 veloce, gratuito, incentrato sulla privacy supporta DNS over TLS (DoT), che può essere configurato utilizzando un client che lo supporta. Per un elenco di questi client, dai un'occhiata qui. DNS su HTTPS può essere configurato in Firefox oggi utilizzando queste istruzioni. Entrambe assicureranno che le tue query DNS rimangano private.
DNSSEC consente a un utente, un'applicazione o un risolutore ricorsivo di fidarsi che la risposta alla propria query DNS sia ciò che il proprietario del dominio intende che sia.
In altre parole: DNSSEC dimostra l'autenticità e l'integrità (sebbene non la riservatezza) di una risposta dal server dei nomi autorevole. Ciò rende molto più difficile per un malintenzionato inserire record DNS dannosi nel percorso di risoluzione attraverso perdite BGP e avvelenamento della cache. Questo tipo di manomissione può consentire a un autore di un attacco di deviare tutto il traffico verso un server che controlla o interrompere la crittografia di SNI, esponendo il nome host a cui ti stai connettendo.
Cloudflare fornisce supporto DNSSEC gratuito a tutti. Per ulteriori informazioni su DNSSEC e Cloudflare visita https://www.cloudflare.com/dns/dnssec/.
TLS 1.3 è l'ultima versione del protocollo TLS e contiene molti miglioramenti per prestazioni e privacy.
Se non utilizzi TLS 1.3, il certificato del server a cui ti stai connettendo non è crittografato, consentendo a chiunque sia in ascolto su Internet di scoprire a quali siti Web ti stai connettendo.
Tutti i siti Web su Cloudflare hanno il supporto TLS 1.3 abilitato per impostazione predefinita: puoi controllare le tue impostazioni in qualsiasi momento visitando la sezione crittografica del dashboard di Cloudflare. Per ulteriori informazioni su TLS 1.3, visita https://www.cloudflare.com/learning/ssl/why-use-tls-1.3/
In qualità di visitatore del sito Web, assicurati di utilizzare un browser che oggi supporta TLS 1.3 visitando questa pagina e scegliendo un browser compatibile.
Encrypted Client Hello (ECH) è un'estensione del protocollo di handshake TLS che impedisce che i parametri sensibili alla privacy dell'handshake vengano esposti a chiunque si trovi tra te e Cloudflare. Questa protezione si estende all'indicazione del nome del server (SNI), che altrimenti esporrebbe il nome host a cui ci si desidera connettere quando si stabilisce una connessione TLS.
ECH non è ancora ampiamente disponibile per i servizi Web dietro Cloudflare, ma stiamo lavorando a stretto contatto con i fornitori di browser per l'implementazione e l'implementazione di questo importante miglioramento della privacy per TLS. Leggi di più nell'introduzione del post del blog su ECH e sul nostro aggiornamento più recente sul processo di diffusione di tale protezione.