Les requêtes DNS sont traditionnellement transmises en clair. Un utilisateur espionnant votre activité sur Internet peut découvrir les sites web auxquels vous vous connectez.
Pour vous assurer que vos requêtes DNS restent privées, vous devriez utiliser un résolveur prenant en charge le transport DNS sécurisé, comme le protocole DNS over HTTPS (DoH) ou DNS over TLS (DoT).
Rapide, gratuit et privilégiant la confidentialité, le résolveur 1.1.1.1 prend en charge le DNS over TLS (DoT), que vous pouvez configurer à l'aide d'un client compatible. La liste de ces clients est disponible ici. Vous pouvez dès aujourd'hui configurer le protocole DNS over HTTPS dans Firefox en suivant ces instructions. Ces deux fonctions permettent de garantir le caractère privé de vos requêtes DNS.
Le protocole DNSSEC permet à un utilisateur, à une application ou à un résolveur récursif de s'assurer que la réponse à une requête DNS est conforme à l'intention du propriétaire du domaine.
En d'autres termes, il prouve l'authenticité et l'intégrité d'une réponse émise par le serveur de noms de référence (mais pas sa confidentialité, néanmoins). Il devient ainsi beaucoup plus difficile pour un acteur malveillant d'injecter des enregistrements DNS malveillants dans le chemin de résolution à l'aide de diverses techniques, comme les fuites BGP et l'empoisonnement de cache. Ce type d'altération peut permettre à un acteur malveillant de détourner l'ensemble du trafic vers un serveur qu'il contrôle ou d'arrêter le chiffrement du SNI, en révélant ainsi le nom de l'hôte auquel vous vous connectez.
Cloudflare propose la prise en charge gratuite du DNSSEC à tous les utilisateurs. Pour en savoir plus au sujet du protocole DNSSEC et Cloudflare, rendez-vous sur https://www.cloudflare.com/fr-fr/dns/dnssec/.
TLS 1.3 est la version la plus récente du protocole TLS. Elle propose de nombreuses améliorations en matière de performances et de confidentialité.
Si vous n'utilisez pas TLS 1.3, le certificat du serveur auquel vous vous connectez n'est pas chiffré. Un utilisateur espionnant votre activité sur Internet peut alors identifier les sites web auxquels vous accédez.
La prise en charge de TLS 1.3 est activée par défaut pour tous les sites web sur Cloudflare. Vous pouvez vérifier votre configuration à tout moment en accédant à l'onglet de chiffrement du tableau de bord de Cloudflare. Pour en savoir plus au sujet de TLS 1.3, rendez-vous sur https://www.cloudflare.com/fr-fr/learning/ssl/why-use-tls-1.3/
En tant que visiteur de sites web, vous devriez dès aujourd'hui vous assurer d'utiliser un navigateur prenant en charge le protocole TLS 1.3. Nous vous invitons à consulter cette page et à choisir un navigateur compatible.
Encrypted Client Hello (ECH) est une extension du protocole de négociation TLS. Elle permet d'empêcher l'exposition des paramètres confidentiels d'une négociation à des utilisateurs situés entre vous et Cloudflare. Cette protection englobe l'indication du nom du serveur (SNI), qui exposerait autrement le nom d'hôte auquel vous souhaitez vous connecter lors de l'établissement d'une connexion TLS.
L'extension ECH n'est pas encore communément disponible pour les services web protégés par Cloudflare, mais nous travaillons en étroite collaboration avec les fournisseurs de navigateurs à la mise en œuvre et au déploiement de cette amélioration importante de la confidentialité pour TLS. Pour en savoir plus, consultez l'introduction à ECH publiée sur notre blog et notre récente mise à jour consacrée à la généralisation de cette protection.