安全 DNS

以往，DNS 查詢以純文字形式傳送。接聽網際網路的任何人都可以看到您所連線的網站。

若要確保 DNS 查詢保持私密，您應使用支援安全 DNS 傳輸的解析程式，例如 DNS over HTTPS (DoH) 或 DNS over TLS (DoT)。

快速、免費、注重隱私權的 1.1.1.1 解析程式支援 DNS over TLS (DoT)，您可以使用支援它的用戶端進行設定。如需這些清單，請查看這裡。若要立即在 Firefox 中設定 DNS over HTTPS，請使用這些說明。兩者皆可確保您的 DNS 查詢保持私密。

DNSSEC

DNSSEC 可讓使用者、應用程式或遞迴解析程式相信，針對 DNS 查詢的回應就是網域擁有者所期望的。

換句話說：DNSSEC 可證明權威名稱伺服器回應的真實性和完整性（儘管並非機密性）。這樣做會讓不良行為者更難透過 BGP 外洩和快取破壞將惡意 DNS 記錄插入解析路徑。這種類型的竄改可讓攻擊者將所有流量轉移至其控制的伺服器或阻止 SNI 加密，從而公開您所連線的主機名稱。

Cloudflare 為每個人提供免費的 DNSSEC 支援。若要深入瞭解 DNSSEC 和 Cloudflare，請造訪 https://www.cloudflare.com/dns/dnssec/。

TLS 1.3 是最新版 TLS 通訊協定，針對效能和隱私權進行了多項改進。

如果您未使用 TLS 1.3，則不會加密所連線的伺服器的憑證，從而讓接聽網際網路的任何人都能探索您所連線的網站。

作為網站訪客，您應造訪此網頁並選擇相容的瀏覽器，以確保目前使用的瀏覽器支援 TLS 1.3。

Encrypted Client Hello (ECH) 是 TLS 交握通訊協定的延伸，可阻止交握的隱私敏感參數向您和 Cloudflare 之外的任何人公開。這種保護會延伸至伺服器名稱指示 (SNI)，否則它會在建立 TLS 連線時公開要連線的目標主機名稱。

ECH 尚未廣泛用於 Cloudflare 背後的 Web 服務，但我們會與瀏覽器廠商密切合作，來為 TLS 實作和部署這一重要的隱私權增強功能。閱讀部落格文章以瞭解 ECH 簡介，以及有關擴充此保護範圍之流程的最新更新。