Así te ayudan los DNS de Cloudflare a proteger tu privacidad

DNS sobre TLS

De forma predeterminada, el DNS se envía a través de una conexión de texto sin formato. DNS sobre TLS es una forma de enviar consultas de DNS a través de una conexión cifrada. Cloudflare es compatible con DNS sobre TLS en el puerto estándar 853 y cumple con RFC7858 .

Configuración

Cloudflare admite DNS sobre TLS en 1.1.1.1 y 1.0.0.1 en el puerto 853. El certificado presentado es para cloudflare-dns.com.

Cómo Funciona:

Una resolución de código auxiliar (el cliente DNS en un dispositivo que habla con la resolución de DNS) se conecta a la resolución a través de una conexión TLS:

  • Antes de la conexión, el resolvedor de código auxiliar DNS ha almacenado un hash SHA256 codificado en base64 del certificado TLS de cloudflare-dns.com (llamado SPKI)
  • El solucionador de apéndice de DNS establece una conexión TCP con cloudflare-dns.com:853
  • La resolución de apéndices DNS inicia un protocolo de enlace TLS
  • En el protocolo de enlace TLS, cloudflare-dns.com presenta su certificado TLS.
  • Una vez que se establece la conexión TLS, el solucionador de código auxiliar DNS puede enviar DNS a través de una conexión cifrada, lo que evita las escuchas ilegales y la manipulación.
  • Todas las consultas de DNS enviadas a través de la conexión TLS deben cumplir con las especificaciones de envío de DNS a través de TCP .

Ejemplo:

$ kdig -d @1.1.1.1 +tls-ca +tls-host=cloudflare-dns.com example.com ;; DEBUG: Querying for owner(example.com.), class(1), type(1), server(1.1.1.1), port(853), protocol(TCP) ;; DEBUG: TLS, imported 170 system certificates ;; DEBUG: TLS, received certificate hierarchy: ;; DEBUG: #1, C=US,ST=CA,L=San Francisco,O=Cloudflare\, Inc.,CN=\*.cloudflare-dns.com ;; DEBUG: SHA-256 PIN: yioEpqeR4WtDwE9YxNVnCEkTxIjx6EEIwFSQW+lJsbc= ;; DEBUG: #2, C=US,O=DigiCert Inc,CN=DigiCert ECC Secure Server CA ;; DEBUG: SHA-256 PIN: PZXN3lRAy+8tBKk2Ox6F7jIlnzr2Yzmwqc3JnyfXoCw= ;; DEBUG: TLS, skipping certificate PIN check ;; DEBUG: TLS, The certificate is trusted. ;; TLS session (TLS1.3)-(ECDHE-SECP256R1)-(ECDSA-SECP256R1-SHA256)-(AES-256-GC ;; ->>HEADER<<- opcode: QUERY; status: NOERROR; id: 58548 ;; Flags: qr rd ra; QUERY: 1; ANSWER: 1; AUTHORITY: 0; ADDITIONAL: 1 ;; EDNS PSEUDOSECTION: ;; Version: 0; flags: ; UDP size: 1536 B; ext-rcode: NOERROR ;; PADDING: 408 B ;; QUESTION SECTION: ;; example.com. IN A ;; ANSWER SECTION: example.com. 2347 IN A 93.184.216.34 ;; Received 468 B ;; Time 2018-03-31 15:20:57 PDT ;; From 1.1.1.1@853 (TCP) in 12.6 ms

Versiones TLS Soportadas

El DNS de Cloudflare sobre TLS es compatible con TLS 1.3 y TLS 1.2.

Anuncios

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s