DNSSEC validation
Vérification cryptographique de chaque réponse DNS reçue des serveurs autoritaires.
Chaque fonctionnalité est pensée pour la vitesse, la sécurité et votre vie privée. Rien de superflu.
Compatible avec tous les appareils, du plus simple au plus avancé.
Le protocole standard. Fonctionne partout, sur tous les appareils, sans configuration spéciale.
Chiffrement TLS 1.3 de bout en bout. Votre FAI ne peut pas voir vos requêtes DNS. Supporté nativement par Android 9+, iOS, Linux.
Requêtes DNS encapsulées dans HTTPS standard. Impossible à bloquer ou filtrer. Compatible Firefox, Chrome, Edge, curl.
Validation cryptographique automatique. Chaque réponse est vérifiée contre les signatures des zones autoritaires. Empoisonnement impossible.
Chaque couche est renforcée contre les attaques connues.
Vérification cryptographique de chaque réponse DNS reçue des serveurs autoritaires.
0x20 encoding (use-caps-for-id) rend l'usurpation de réponses quasi impossible.
Blocage des requêtes ANY, rate limiting par IP, drop des zones privées.
30 requêtes/seconde par IP. Protège le service sans impacter l'usage normal.
Blocage des réponses pointant vers des adresses privées (RFC1918). Protège votre réseau local.
Le serveur ne révèle ni son nom, ni sa version, ni son logiciel. Surface d'attaque minimale.
Optimisé pour répondre le plus vite possible, même sous charge.
10 000 entrées en mémoire. TTL minimum 5 minutes pour éviter les requêtes inutiles.
Les entrées populaires sont rafraîchies avant expiration. Zéro latence pour les domaines fréquents.
En cas de panne upstream, les réponses expirées sont servies pendant 24h. Résilience maximale.
France (Roubaix) et Canada (Beauharnois). Latence optimale pour l'Europe et l'Amérique du Nord.
Seules les données nécessaires sont retournées. Paquets plus petits, réponses plus rapides.
Distribution kernel-level des requêtes. Pas de contention, pas de lock, performance linéaire.
Pas un afterthought. La confidentialité est dans l'architecture.
log-queries: no. log-replies: no. Aucune requête n'est écrite nulle part. Ni disque, ni mémoire, ni base de données.
Seule la partie nécessaire du nom est envoyée à chaque serveur autoritaire. Moins de fuite d'information.
Aucun modèle économique basé sur vos données. Pas de partenariat data. Pas de profiling.
Les preuves de non-existence sont cachées agressivement. Moins de requêtes sortantes = moins de métadonnées.
Tout ce qu'il faut pour une intégration technique propre.
dig @51.178.223.105 example.com
Fonctionne avec dig, drill, kdig, nslookup.
Chaque configuration est copiable en un clic depuis la page setup.
Endpoint DoH compatible avec les requêtes JSON pour intégration programmatique.