为什么需要VPN才能在公共WiFI上保持安全(HTTPS不够)

现在,大多数网站都使用HTTPS加密您的连接并为您的数据添加额外的保护层。但是,如果您使用的是公共WiFi,则在不使用VPN的情况下使用HTTPS意味着您的某些数据仍然容易受到攻击.


编辑:此博客文章的早期版本可能被误解为暗示TLS 1.2已被破坏。我们删除了可能导致这种混淆的部分.

安全的超文本传输​​协议(HTTPS)会加密您的设备和网站之间的流量,从而使入侵者很难观察到共享的信息。它还提供了签名或HTTPS证书,使您可以验证所运行的网站是否由声称的网站运行。 HTTPS已成为几乎所有网站的标准安全功能.

如果HTTPS对您与网站的连接进行加密,那么公共WiFi安全吗?不幸的是,HTTPS不会像DNS查询那样加密您的所有数据。如果您在没有VPN的情况下使用公共WiFi,则可能会面临风险.

HTTPS如何运作

HTTPS使用传输层安全性(TLS)协议来保护Web浏览器和网站之间的连接。协议只是一组规则和指令,它们控制计算机之间的通信方式。 TLS协议是保护在线连接的基础。通过这种方式,您可以输入登录凭据,浏览网站或执行在线银行业务而无需其他人看到内容.

TLS使用私钥加密。密钥只是用于消息传输的计算机代码,而私钥是不对公众开放的密钥。为了确保连接的完整性,您的浏览器和Internet服务器通过共享公共密钥来发起“握手”。建立握手后,服务器和浏览器会协商私钥以加密您的连接。每个连接生成自己的唯一私钥,并且在传输单个字节的数据之前对连接进行加密。加密一旦完成,入侵者便无法监视或修改Web浏览器与网站之间的通信,而不会被检测到.

TLS还提供数字证书,这些证书对网站的凭据进行身份验证,并让您知道数据来自受信任的来源(或声称是一个来源的网站)。数字证书由证书颁发机构颁发.

正如我们将在下面讨论的那样,该系统仍然存在某些漏洞,但被认为是安全的。在没有VPN的情况下使用公共WiFi的第一个漏洞就是TLS不能保护域名系统(DNS)查询(尚未)。.

什么是DNS查询?

域名系统将人类友好的URL转换为计算机可以理解的数字IP地址。例如,要访问我们的网站,请输入URL www.protonvpn.com,但您的计算机将其视为[185.70.40.231]。为了找到该号码,您的Web浏览器使用了DNS解析器,通常由您的Internet服务提供商提供。将此解析器视为帮助您将要访问的网站的URL转换为IP地址的助手.

您的DNS请求未加密。入侵者可以观察您的DNS查询和您的DNS解析程序的响应。如果您使用不使用VPN的公共WiFi,这将导致我们遭受第一次攻击:DNS泄漏.

DNS泄漏

如果有人要监视您的DNS查询,他们将获得您访问过的所有站点以及设备IP地址的列表。鉴于大多数公共WiFi热点的安全性较弱,入侵者获得网络访问权限并随后记录您的DNS查询将相对简单。即使没有入侵者,您的数据仍可能处于危险之中,因为公共WiFi上的解析器可以自行收集您的数据.

DNS欺骗

DNS泄漏使入侵者可以监视您的活动,但是如果攻击者欺骗了您的DNS请求,他们可以将您重定向到他们控制的恶意站点。也称为DNS中毒,当攻击者伪装成您的DNS解析器时,就会发生这种情况。然后,攻击者欺骗了目标网站的IP地址,并将其替换为受其控制的站点的IP地址。该URL将与您打算访问的站点相同,但是该站点将在攻击者的控制之下。现代的浏览器通常会警告用户他们位于没有HTTPS的网站上,并且这种攻击不适用于具有证书的HTTPS网站.

但是,随着DNS欺骗的变种,攻击者可以将您发送到具有与您打算访问的URL稍有不同的URL的站点。认为“ protomvpn.com”而不是“ protonvpn.com”。此外,这种类型的假站点可以使用HTTPS并具有有效的证书。您的浏览器将在地址旁边显示一个绿色锁,这使得检测起来更加困难.

Punycode

不幸的是,最近的Punycode攻击使黑客找到了一种方法,可以使两个具有相同URL和有效HTTPS证书的网站。 Punycode是网络浏览器用来将所有不同的Unicode字符(例如ß,竹或Ж)转换为国际域名系统支持的受限字符集(A-Z,0-9)的一种编码类型。例如,如果一个中文网站在Punycode中使用域名“竹.com”,则将其表示为“ xn--2uz.com”.

入侵者发现,如果您撤消该过程并输入Punycode字符作为域,只要所有字符都来自单个外语字符集,并且Punycode域与目标域完全匹配,则浏览器会将其呈现在目标域的普通语言。在上面链接的《黑客新闻》文章中使用的示例中,研究人员注册了域“ xn--80ak6aa92e.com”,显示为“ apple.com”。研究人员甚至创建了这个假苹果网站,以演示仅使用URL和HTTPS信息来区分这些网站有多么困难.

如研究人员的示例所示,Punycode网站可以实施HTTPS并接收有效的证书,这使您很难检测到您是否在假网站上。只有检查HTTPS证书上的实际详细信息,您才能区分“ xn--80ak6aa92e.com”和“ apple.com”.

幸运的是,许多浏览器已经解决了此漏洞,大多数浏览器现在将其地址显示为xn--80ak6aa92e.com

在公共WiFi上使用VPN

这些只是您在使用不安全的公共WiFi网络时遇到的一些漏洞。即使您使用正确实施的HTTPS访问合法站点,该站点也可能包含不受HTTPS保护的站点中的图像或脚本。然后,攻击者可以使用这些脚本和图像将恶意软件传递到您的设备上.

值得信赖的VPN可以保护您免受所有这些漏洞的侵害。 VPN对您的流量进行加密并通过VPN服务器进行路由,这意味着您的Internet服务提供商(或恶意WiFi热点的所有者)无法监视您的在线活动。这种额外的加密将保护您的连接免受TLS降级攻击.  

彻底的VPN服务(例如ProtonVPN)也运行自己的DNS服务器,以便它们可以加密和处理您的DNS查询。 ProtonVPN的应用强制浏览器通过我们的DNS服务器解析DNS查询,从而保护您免受DNS泄漏的侵害。如果您断开连接,我们甚至可以保护您的DNS查询。如果您断开与VPN服务器的连接,我们的Kill Switch功能会立即阻止所有网络连接,从而防止数据泄露.  

ProtonVPN的免费VPN计划为每个人提供了一种免费,简单的方法来保护其Internet连接免受这些攻击。借助我们的免费VPN服务,您无需再没有VPN即可使用公共WiFi.

最好的祝福,
ProtonVPN团队

推特| Facebook | Reddit

要获得免费的ProtonMail加密电子邮件帐户,请访问: protonmail.com


Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map