Защита DNS

Наверх

Обычно DNS-запросы отправляются в виде простого текста. И любой человек, прослушивающий сеть, может посмотреть, к каким веб-сайтам вы подключаетесь.

Чтобы обеспечить конфиденциальность DNS-запросов, нужно использовать резолвер, поддерживающий защищенные каналы для DNS, например DNS over HTTPS (DoH) или DNS over TLS (DoT).

Быстрый и бесплатный резолвер 1.1.1.1, ориентированный на сохранение конфиденциальности, поддерживает протокол "DNS over TLS' (DoT), который вы можете настроить с помощью любого клиента, который также его поддерживает. Полный список клиентов можно посмотреть здесь. DNS over HTTPS в настоящее время можно настроить в Firefox, следуя этим инструкциям. И то, и другое обеспечит конфиденциальность ваших DNS-запросов.


DNSSEC позволяет пользователю, приложению или рекурсивному резолверу не сомневаться в том, что ответ на DNS-запрос действительно соответствует подлинным данным о владельце домена.

Другими словами, DNSSEC подтверждает подлинность и целостность (но не конфиденциальность) ответа, полученного от авторитетного сервера имен. В таких условиях злоумышленникам гораздо сложнее внедрить подложные записи DNS в процесс разрешения доменных имен, организовав утечку BGP-маршрутов или отравление кэша. Атаки такого рода, если выполняются успешно, позволяют злоумышленнику перевести весь трафик на сервер, который он контролирует, или отключить шифрование SNI и тем самым раскрыть имя хоста, к которому вы подключаетесь.

Cloudflare предлагает бесплатный DNSSEC для всех. Подробную информацию о DNSSEC в решениях Cloudflare можно найти на странице https://www.cloudflare.com/dns/dnssec/.


TLS 1.3 — новейшая версия протокола TLS. Она содержит много улучшений в плане производительности и конфиденциальности.

Если вы не используете TLS 1.3, значит, сертификат сервера, к которому вы подключаетесь, не шифруется, и любой злоумышленник, отслеживающий Интернет, может узнать, на какие веб-сайты вы заходите.

Для всех веб-сайтов, которые обслуживает Cloudflare, поддержка TLS 1.3 включена по умолчанию. Вы можете проверить настройки в любое время, зайдя в раздел шифрования на информационной панели Cloudflare. Подробнее о TLS 1.3 рассказано на странице https://www.cloudflare.com/learning/ssl/why-use-tls-1.3/

Если вы посетитель веб-сайта, вам нужно убедиться, что ваш браузер поддерживает TLS 1.3. Зайдите на эту страницу и выберите совместимый браузер.


Безопасные SNI

Наверх

Encrypted Client Hello (ECH) — это расширение протокола квитирования TLS, которое предотвращает раскрытие конфиденциальных параметров квитирования кому-либо между вами и Cloudflare. Эта защита распространяется на указание имени сервера (SNI), которое в противном случае раскрыло бы имя хоста, к которому вы хотите подключиться, при установке соединения TLS.


ECH пока не широко доступен для веб-сервисов Cloudflare, но мы тесно сотрудничаем с поставщиками браузеров над реализацией и развертыванием этого важного улучшения конфиденциальности для TLS. Подробную информацию можно найти в записи блога введение в ECH и в нашей последней публикации о процессе более широкого распространения этой защиты.