일반적으로 DNS 쿼리는 일반 텍스트로 전송됩니다. 인터넷에서 수신하는 누구든 사용자가 연결하려는 웹 사이트를 확인할 수 있습니다.
DNS 쿼리를 비공개로 유지하려면 DoH(HTTPS를 통한 DNS) 또는 DoT(TLS를 통한 DNS) 등의 보안 DNS 전송을 지원하는 확인자를 사용해야 합니다.
빠르고 무료이며 개인 정보 보호에 중점을 둔 1.1.1.1 확인자는 DoT(TLS를 통한 DNS)를 지원하며, 지원 클라이언트를 사용하여 구성할 수 있습니다. 여기에서 목록을 확인하세요. 현재 지침에 따라 Firefox에서 HTTPS를 통한 DNS 구성이 가능합니다. 두 가지 모두 DNS 쿼리를 비공개로 유지합니다.
DNSSEC를 사용하면 도메인 소유자가 의도한 DNS 쿼리 응답임을 사용자, 애플리케이션, 또는 재귀 확인자가 신뢰할 수 있습니다.
즉, DNSSEC는 권한 있는 이름 서버에서 보낸 응답의 정확성과 무결성(기밀성은 아님)을 증명합니다. 이렇게 하면 해커가 BGP 유출 및 캐시 중독을 통해 확인 경로에 악의적 DNS 레코드를 삽입하기가 훨씬 어려워집니다. 공격자는 이러한 유형의 변조로 모든 트래픽을 직접 제어하는 서버로 전환하거나, SNI 암호화를 중지하여 사용자가 연결하고 있는 호스트 이름을 노출할 수 있습니다.
Cloudflare는 모두에게 무료 DNSSEC를 지원합니다. DNSSEC 및 Cloudflare에 대한 자세한 내용은 https://www.cloudflare.com/dns/dnssec/ 웹 사이트에서 확인할 수 있습니다.
TLS 1.3은 TLS 프로토콜의 최신 버전으로, 성능 및 개인 정보 보호 목적으로 개선한 여러 부분이 포함되어 있습니다.
TLS 1.3을 사용하지 않는 경우, 연결 중인 서버의 인증서가 암호화되지 않으므로 인터넷을 수신하는 누구든지 사용자가 연결하려는 웹 사이트를 알 수 있습니다.
Cloudflare의 모든 웹 사이트는 TLS 1.3 지원을 기본으로 사용하도록 설정되어 있으며, Cloudflare 대시보드의 Crypto 섹션을 방문해 언제든지 설정을 확인할 수 있습니다. TLS 1.3에 대한 자세한 내용은 https://www.cloudflare.com/learning/ssl/why-use-tls-1.3/ 웹 사이트에서 확인하세요.
웹 사이트 방문자는 이 페이지를 방문해 호환 가능한 브라우저를 선택하여 현재 TLS 1.3을 지원하는 브라우저를 사용하고 있는지 확인해야 합니다.
ECH(Encrypted Client Hello)는 개인 정보 보호에 민감한 핸드셰이크 매개 변수가 사용자와 Cloudflare 사이의 모두에게 노출되지 않게 TLS 핸드셰이크 프로토콜을 확장한 것입니다. 이 보호 기능은 SNI(Server Name Indication)까지 적용되며, 적용되지 않는다면 TLS 연결을 설정할 때 연결하려는 호스트 이름이 노출될 수 있습니다.
아직은 Cloudflare 이외의 웹 서비스에서 ECH가 널리 사용되지는 않지만, 브라우저 벤더와 긴밀히 협력하여 TLS용으로 중요한 이 개인 정보 보호 강화 기능을 구현하여 배포하고 있습니다. ECH를 소개하는 내용과 이 보호 기능을 더 널리 보급하는 과정을 다룬 최근 업데이트 블로그 게시물을 읽어보세요.