従来からDNSクエリーはプレーンテキストで送信されており、接続先Webサイトがインターネット上のすべての盗聴者に見えてしまいます。
DNSクエリーを秘密にしておくためには、DNS over HTTPS(DoH)やDNS over TLS(DoT)などの安全なDNSトランスポートをサポートするリゾルバーを使う必要があります。
プライバシーを重視した無料の高速リゾルバー1.1.1.1はDNS over TLS(DoT)をサポートしており、DoTに対応するクライアントで設定できます。それらのリストはこちらをご覧ください。DNS over HTTPS(DoH)は現在、こちらの手順に従ってFirefoxで設定できます。どちらもDNSクエリーのプライバシーを確実に守ります。
ユーザー、アプリケーション、再帰的リゾルバーはDNSSECによって、DNSクエリーへの応答がドメイン所有者が意図するものであることを確信できます。
言い換えれば、DNSSECが権威DNSサーバーからの応答の真正性と完全性を証明するということです(機密性は証明しません)。このDNSSECの機能により、悪性アクターがBGPリークやキャッシュポイズニングを通じて解決パスに悪意あるDNSレコードを挿入することが難しくなります。攻撃者はこの種の改竄によって、自分が管理するサーバーへ全トラフィックを誘導したり、SNIの暗号化を阻止したりして、接続先ホスト名を暴露することができます。
Cloudflareはすべての方にDNSSECサポートを無償で提供します。DNSSECとCloudflareについて詳しくはhttps://www.cloudflare.com/dns/dnssec/でお読みください。
TLS1.3はTLSプロトコルの最新バージョンで、パフォーマンスとプライバシー保護の面で数多くの改善が施されています。
TLS1.3を使っていなければ接続先サーバーの証明書が暗号化されず、インターネット上の盗聴者すべてに接続先Webサイトが知られてしまいます。
Cloudflare上のWebサイトはすべて、TLS1.3のサポートがデフォルトで有効化されています。設定は、CloudflareダッシュボードのCryptoセクションで随時チェックできます。TLS1.3の詳細については、https://www.cloudflare.com/learning/ssl/why-use-tls-1.3/をご覧ください。
Webサイト訪問者は今すぐこのページを訪問して対応するブラウザーを選択し、TLS1.3をサポートするブラウザーを使用するようにしましょう。
Encrypted Client Hello(ECH)はTLSハンドシェイクプロトコルの拡張機能で、プライバシー侵害が起こりやすいハンドシェイクパラメーターが、お客様とCloudflareの間に居る何者にも暴露されないようにします。この保護はServer Name Indication(SNI)にも適用されます。この適用がなければ、TLS接続を確立する際に接続したいホスト名が暴露されてしまいます。
ECHは、Cloudflareの背後のWebサービスで広く利用されるにはまだ至っていませんが、当社はブラウザーベンダーと緊密に協力し、この重要なTLSプライバシー強化策の実装とデプロイメントを進めています。詳しくは、ECHを紹介したブログ記事と、この保護策の普及プロセスに関する最新情報をお読みください。