Tradycyjnie zapytania DNS są wysyłane w formie zwykłego tekstu. Każda osoba podsłuchująca w Internecie może zobaczyć dokładne witryny, z którymi się łączysz.
Aby zapewnić, że Twoje zapytania DNS pozostaną prywatne, musisz użyć resolwera, który obsługuje bezpieczny transport DNA, np. DNS over HTTPS (DoH) lub DNS over TLS (DoT).
Szybki i bezpłatny resolwer 1.1.1.1 obsługuje standard DNS over TLS (DoT), który możesz skonfigurować za pomocą obsługującego go klienta. Listę takich klientów można znaleźć tutaj. Standard DNS over HTTPS można obecnie skonfigurować w przeglądarce Firefox, korzystając z tych instrukcji. Obydwa te rozwiązania zapewnią prywatność Twoich zapytań DNS.
Dzięki DNSSEC użytkownik, aplikacja lub rekurencyjny resolwer może ufać, że odpowiedź na jego zapytanie DNS jest taka, jakiej chciałby właściciel domeny.
Innymi słowy, DNSSEC udowadnia autentyczność i uczciwość (ale nie poufność) odpowiedzi z autorytatywnego serwera nazw. Dzięki temu osobom atakującym jest dużo trudniej wstrzykiwać złośliwe rekordy DNS do ścieżki rozwiązania poprzez wycieki BGP oraz zatruwanie pamięci podręcznej. Ten typ ingerencji może umożliwić atakującemu przekierowanie wszelkiego ruchu do serwera, który sam kontroluje, bądź zatrzymanie szyfrowania SNI i ujawnienie nazwy hosta, z którym nawiązywane jest połączenie.
Cloudflare zapewnia każdemu bezpłatną pomoc techniczną w zakresie DNSSEC. Więcej informacji na temat DNSSEC i Cloudflare znajduje się na stronie https://www.cloudflare.com/dns/dnssec/.
TLS 1.3 to najnowsza wersja protokołu TLS, która zawiera wiele usprawnień w zakresie wydajności i prywatności.
Jeśli nie korzystasz z TLS 1.3, wówczas certyfikat serwera, z którym się łączysz, nie jest szyfrowany. W związku z tym każda osoba podsłuchująca w Internecie może zobaczyć, z którymi witrynami się łączysz.
Wszystkie witryny w sieci Cloudflare domyślnie otrzymują obsługę protokołu TLS 1.3 — możesz sprawdzić swoje ustawienie w dowolnym momencie, odwiedzając sekcję dotyczącą rozwiązań kryptograficznych na pulpicie nawigacyjnym Cloudflare. Aby dowiedzieć się więcej na temat protokołu TLS 1.3, odwiedź stronę https://www.cloudflare.com/learning/ssl/why-use-tls-1.3/
Jako odwiedzający witrynę musisz się upewnić, że korzystasz z przeglądarki obsługującej protokół TLS 1.3. W tym celu odwiedź tę stronę i wybierz zgodną przeglądarkę.
Encrypted Client Hello (ECH) to rozszerzenie protokołu uzgadniania TLS, które zapobiega ujawnianiu prywatnych parametrów uzgadniania komukolwiek między Tobą a Cloudflare. Ta ochrona jest rozszerzona na funkcję Server Name Indication (SNI), która w innym przypadku ujawniłaby nazwę hosta, z którym chcesz się połączyć podczas nawiązywania połączenia TLS.
Rozszerzenie ECH nie jest jeszcze szeroko dostępne dla usług sieciowych Cloudflare, ale współpracujemy blisko z dostawcami przeglądarek nad wprowadzeniem i wdrożeniem tego ważnego usprawnienia z zakresu prywatności dla TLS. Przeczytaj więcej na ten temat we wprowadzeniu do rozszerzenia ECH zawartego we wpisie na blogu, a także w naszych najnowszych informacjach na temat procesu rozszerzania popularności tej ochrony.