DNS seguro

Voltar ao topo

Tradicionalmente, as consultas de DNS são enviadas em texto sem formatação. Qualquer pessoa ouvindo na internet pode ver a quais sites você está se conectando.

Para garantir que suas consultas de DNS permaneçam privadas, você deve usar um resolvedor que ofereça suporte ao transporte de DNS seguro, como DNS sobre HTTPS (DoH) ou DNS sobre TLS (DoT).

O resolvedor 1.1.1.1 rápido, gratuito e focado na privacidade é compatível com DNS sobre TLS (DoT), que você pode configurar usando um cliente compatível. Para obter uma lista deles, veja aqui O DNS sobre HTTPS pode ser configurado no Firefox hoje usando estas instruções. Ambos vão garantir que suas consultas de DNS permaneçam privadas.


O DNSSEC permite que um usuário, aplicativo ou resolvedor recursivo confie que a resposta à sua consulta de DNS é o que o proprietário do domínio pretende que seja.

Dito de outra forma: o DNSSEC prova a autenticidade e integridade (embora não a confidencialidade) de uma resposta do nameserver autorizado. Isso torna muito mais difícil para um agente mal intencionado injetar registros de DNS maliciosos no caminho de resolução por meio de vazamentos de BGP e envenenamento de cache. Esse tipo de adulteração pode permitir que um invasor desvie todo o tráfego para um servidor que ele controla ou interrompa a criptografia do SNI, expondo o hostname ao qual você está se conectando.

A Cloudflare fornece compatibilidade com DNSSEC gratuita para todos. Você pode ler mais sobre DNSSEC e a Cloudflare em https://www.cloudflare.com/dns/dnssec/.


O TLS 1.3 é a versão mais recente do protocolo TLS e contém muitas melhorias para desempenho e privacidade.

Se você não estiver usando o TLS 1.3, o certificado do servidor ao qual você está se conectando não é criptografado, permitindo que qualquer pessoa ouvindo na internet descubra a quais sites você está se conectando.

Todos os sites na Cloudflare têm suporte TLS 1.3 ativado como padrão. Você pode verificar sua configuração a qualquer momento visitando a seção de criptografia do painel da Cloudflare. Para ler mais sobre o TLS 1.3, visite https://www.cloudflare.com/learning/ssl/why-use-tls-1.3/

Como visitante do site, você deve garantir que está usando um navegador compatível com TLS 1.3 visitando esta página e escolhendo um navegador compatível.


SNI seguro

Voltar ao topo

O Encrypted Client Hello (ECH) é uma extensão do protocolo handshake TLS que impede que parâmetros sensíveis à privacidade do handshake sejam expostos a qualquer pessoa entre você e a Cloudflare. Essa proteção se estende à Indicação de nome do servidor (SNI), que, de outra forma, exporia o hostname ao qual você deseja se conectar ao estabelecer uma conexão TLS.


O ECH ainda não está amplamente disponível para serviços da web por trás da Cloudflare, mas estamos trabalhando em estreita colaboração com fornecedores de navegadores na implementação e implantação desse importante aprimoramento de privacidade para TLS. Leia mais na introdução do blog sobre ECH e nossa atualização mais recente sobre o processo de tornar essa proteção mais ampla.