安全的 DNS

传统上，DNS 查询以明文形式发送。任何在互联网上监听的人都能看到您正在连接哪些网站。

为了确保您的 DNS 查询保持私密，您应该使用支持安全 DNS 传输的解析器，例如 DNS over HTTPS (DoH) 或 DNS over TLS (DoT)。

快速、免费、注重隐私的 1.1.1.1 解析器支持 DNS over TLS(DoT)，可以使用支持它的客户端进行配置。在此查看支持的浏览器列表。现在可以按照这些说明在 Firefox 中配置 DNS over HTTPS。两者都可以确保您的 DNS 查询保持私密。

DNSSEC

返回顶部

DNSSEC 允许用户、应用程序或递归解析器相信，对其 DNS 查询的响应是域所有者希望提供的。

换句话说，DNSSEC 证明了来自权威名称服务器的响应的真实性和完整性(尽管不涉及保密性)。这样做使得恶意行为者大大增加通过 BGP 泄漏和缓存投毒将恶意 DNS 记录注入解析路径的难度。这种篡改可以让攻击者将所有流量重定向到他们控制的服务器上，或停止 SNI 的加密，从而暴露您正在连接到的主机名。

Cloudflare 向所有人提供免费的 DNSSEC 支持。有关 DNSSEC 和 Cloudflare 的信息，可浏览 https://www.cloudflare.com/dns/dnssec/。

TLS 1.3

返回顶部

TLS 1.3 是 TLS 协议的最新版本，包含了大量性能和隐私方面的改进。

如果您没有使用 TLS 1.3，那么您连接到的服务器的证书是不加密的，任何在互联网上监听的人都能发现您正在连接什么网站。

Cloudflare 上的网站都默认启用 TLS 1.3 支持。您可以随时访问 Cloudflare 仪表板的加密部分来检查您的设置。若要进一步了解 TLS 1.3，请访问 https://www.cloudflare.com/learning/ssl/why-use-tls-1.3/

作为网站访问者，您应该确保使用的浏览器支持 TLS 1.3。请立即访问这个页面，并选择一个兼容的浏览器。

安全 SNI

返回顶部

加密客户端 Hello (ECH)是 TLS 握手协议的一个扩展，可以防止握手的隐私敏感参数暴露给您和 Cloudflare 之间的任何人。这种保护还扩展到服务器名称指示(SNI)，否则在建立 TLS 连接时会暴露您要连接的主机名。

目前，ECH 在 Cloudflare 背后的 Web 服务中尚未广泛使用，但我们正在与浏览器供应商密切合作，实现和部署这个对 TLS 非常重要的隐私增强功能。欢迎在介绍 ECH 的博客文章中阅读更多信息，并浏览有关使这种保护得到更广泛应用的近期更新。