Tradicionalmente, las consultas DNS se envían en texto sin encriptar. Cualquier persona que observe en Internet puede ver a qué sitios web te conectas.
Para garantizar la privacidad de tus consultas DNS, debes utilizar un solucionador que admita el transporte DNS seguro, como por ejemplo DNS sobre HTTPS (DoH) o DNS sobre TLS (DoT).
El solucionador 1.1.1.1 , rápido, gratuito y que prioriza la privacidad, es compatible con DNS sobre TLS (DoT), que puedes configurar utilizando un cliente que lo admita. Para ver una lista de estos clientes, echa un vistazo aquí. DNS sobre HTTPS se puede configurar actualmente en Firefox siguiendo estas instrucciones. Ambas tecnologías garantizarán la privacidad de tus consultas DNS.
Gracias a DNSSEC, un usuario, una aplicación o un solucionador recursivo puede confiar en que la respuesta a su consulta DNS es la que el propietario del dominio desea que sea.
En otras palabras, DNSSEC demuestra la autenticidad y la integridad (aunque no la confidencialidad) de una respuesta de un servidor de nombres autoritativo. Esto hace que a los actores maliciosos les resulte mucho más difícil inyectar registros DNS maliciosos en la ruta de resolución mediante filtraciones BGP y envenenamiento de caché. Este tipo de manipulación puede permitir que un actor malicioso desvíe todo el tráfico a un servidor que esté bajo su control o que evite la encriptación de la SNI, lo que expondría el nombre del servidor al que te estás conectando.
Cloudflare proporciona compatibilidad con DNSSEC para todos, sin ningún coste. Puedes encontrar más información sobre DNSSEC y Cloudflare en https://www.cloudflare.com/dns/dnssec/.
TLS 1.3 es la última versión del protocolo TLS y contiene muchas mejoras de rendimiento y privacidad.
Si no utilizas TLS 1.3, el certificado del servidor al que te estás conectando no se encripta, lo que permite que cualquier persona que observe en Internet pueda descubrir a qué sitios te conectas.
Todos los sitios web en Cloudflare tienen por defecto activada la compatibilidad con TLS 1.3. Puedes comprobar tu configuración visitando la sección Criptografía del panel de control de Cloudflare. Si deseas saber más sobre TLS 1.3, visita https://www.cloudflare.com/learning/ssl/why-use-tls-1.3/
Como visitante de un sitio web, asegúrate desde hoy de que utilizas un navegador que admita TLS 1.3. Para ello, visita esta página y elige un navegador compatible.
Encrypted Client Hello (ECH) es una extensión del protocolo de enlace TLS que evita que los parámetros privados del enlace queden expuestos a cualquier persona entre tú y Cloudflare. Esta protección abarca también la SNI. En caso contrario, el nombre del servidor al que deseas conectarte al establecer una conexión TLS quedaría expuesto.
ECH no está aún disponible a nivel general para los servicios web detrás de Cloudflare, pero estamos trabajando estrechamente con los proveedores de los navegadores para implementar esta importante mejora de la privacidad para TLS. Encontrarás más información en la publicación del blog de introducción a ECH y en nuestras últimas noticias sobre los avances para que esta protección esté disponible a nivel general.