Les requêtes DNS sont traditionnellement transmises en clair. Un utilisateur observant la connexion Internet peut consulter les sites web auxquels vous vous connectez.
Pour vous assurer que vos requêtes DNS restent privées, vous devriez utiliser un résolveur prenant en charge le transport DNS sécurisé, tel que DNS over HTTPS (DoH) ou DNS over TLS (DoT).
Le résolveur rapide, gratuit et priorisant la confidentialité 1.1.1.1 prend en charge DNS over TLS (DoT), que vous pouvez configurer en utilisant un client compatible. La liste de ces clients est disponible ici. Vous pouvez dès aujourd'hui configurer DNS over HTTPS dans Firefox en suivant ces instructions. Ces deux fonctions assurent que vos requêtes DNS resteront privées.
DNSSEC permet à un utilisateur, une application ou un résolveur récursif de s'assurer que la réponse à sa requête DNS est conforme à l'intention du propriétaire du domaine.
En d'autres termes, DNSSEC prouve l'authenticité et l'intégrité (pas la confidentialité, toutefois) d'une réponse du serveur de noms de référence. Il devient ainsi beaucoup plus difficile pour un acteur malveillant d'injecter des enregistrements DNS malveillants dans le chemin de résolution, par le biais de techniques telles que les fuites BGP et l'empoisonnement de cache. Ce type d'altération peut permettre à un acteur malveillant de détourner l'ensemble du trafic vers un serveur qu'il contrôle ou d'arrêter le chiffrement du SNI, révélant ainsi le nom de l'hôte auquel vous établissez une connexion.
Cloudflare offre une prise en charge gratuite de DNSSEC à tous les utilisateurs. Pour en savoir plus sur DNSSEC et Cloudflare, consultez la page https://www.cloudflare.com/dns/dnssec/.
TLS 1.3 est la version la plus récente du protocole TLS et propose de nombreuses améliorations en matière de performances et de confidentialité.
Si vous n'utilisez pas TLS 1.3, le certificat du serveur auquel vous vous connectez n'est pas chiffré ; un utilisateur observant la connexion sur Internet peut alors consulter les sites web auxquels vous vous connectez.
La prise en charge de TLS 1.3 est activée par défaut pour tous les sites web sur Cloudflare. Vous pouvez vérifier votre configuration à tout moment en accédant à l'onglet de chiffrement du tableau de bord de Cloudflare. Pour en savoir plus sur TLS 1.3, consultez https://www.cloudflare.com/learning/ssl/why-use-tls-1.3/
En tant que visiteur d'un site web, vous devriez dès aujourd'hui vous assurer d'utiliser un navigateur prenant en charge TLS 1.3. Nous vous invitons à consulter cette page et à choisir un navigateur compatible.
Encrypted Client Hello (ECH) est une extension du protocole de négociation TLS, et empêche les paramètres confidentiels de la négociation d'être exposés à des utilisateurs situés entre vous et Cloudflare. Cette protection englobe l'indication du nom du serveur (SNI), qui exposerait autrement le nom d'hôte auquel vous souhaitez vous connecter lors de l'établissement d'une connexion TLS.
ECH n'est pas encore communément disponible pour les services web protégés par Cloudflare, mais nous travaillons en étroite collaboration avec les fournisseurs de navigateurs à la mise en œuvre et au déploiement de cette amélioration importante de la confidentialité pour TLS. Pour en savoir plus, consultez l'introduction à ECH publiée sur notre blog et notre récente mise à jour consacrée à la généralisation de cette protection.
Service commercial
Premiers pas
Communauté
Développeurs
Support
Société