[[257085]]

關(guān)于 DNS 和根證書你需要了解的內(nèi)容。

-- Anxhelo Lushka

由于最近發(fā)生的一些事件，我們(Privacy Today 組織)感到有必要寫一篇關(guān)于此事的短文。它適用于所有讀者，因此它將保持簡(jiǎn)單 —— 技術(shù)細(xì)節(jié)可能會(huì)在稍后的文章發(fā)布。

什么是 DNS，為什么它與你有關(guān)?

DNS 的意思是 域名系統(tǒng)(Domain Name System)，你每天都會(huì)接觸到它。每當(dāng)你的 Web 瀏覽器或任何其他應(yīng)用程序連接到互聯(lián)網(wǎng)時(shí)，它就很可能會(huì)使用域名。簡(jiǎn)單來說，域名就是你鍵入的地址：例如 duckduckgo.com 。你的計(jì)算機(jī)需要知道它所導(dǎo)向的地方，會(huì)向 DNS 解析器尋求幫助。而它將返回類似 176.34.155.23 這樣的 IP —— 這就是連接時(shí)所需要知道的公開網(wǎng)絡(luò)地址。 此過程稱為 DNS 查找。

這對(duì)你的隱私、安全以及你的自由都有一定的影響：

隱私

由于你要求解析器獲取域名的 IP，因此它會(huì)確切地知道你正在訪問哪些站點(diǎn)，并且由于“物聯(lián)網(wǎng)”(通?？s寫為 IoT)，甚至它還知道你在家中使用的是哪個(gè)設(shè)備。

安全

你可以相信解析器返回的 IP 是正確的。有一些檢查措施可以確保如此，在正常情況下這一般不是問題。但這些可能措施會(huì)被破壞，這就是寫作本文的原因。如果返回的 IP 不正確，你可能會(huì)被欺騙引向了惡意的第三方 —— 甚至你都不會(huì)注意到任何差異。在這種情況下，你的隱私會(huì)受到更大的危害，因?yàn)椴粌H會(huì)被跟蹤你訪問了什么網(wǎng)站，甚至你訪問的內(nèi)容也會(huì)被跟蹤。第三方可以準(zhǔn)確地看到你正在查看的內(nèi)容，收集你輸入的個(gè)人信息(例如密碼)等等。你的整個(gè)身份可以輕松接管。

自由

審查通常是通過 DNS 實(shí)施的。這不是最有效的方法，但它非常普遍。即使在西方國(guó)家，它也經(jīng)常被公司和政府使用。他們使用與潛在攻擊者相同的方法;當(dāng)你查詢 IP 地址時(shí)，他們不會(huì)返回正確的 IP。他們可以表現(xiàn)得就好像某個(gè)域名不存在，或完全將訪問指向別處。

DNS 查詢的方式

由你的 ISP 提供的第三方 DNS 解析器

大多數(shù)人都在使用由其互聯(lián)網(wǎng)接入提供商(ISP)提供的第三方解析器。當(dāng)你連接調(diào)制解調(diào)器時(shí)(LCTT 譯注：或?qū)拵酚善?，這些 DNS 解析器就會(huì)被自動(dòng)取出，而你可能從來沒注意過它。

你自己選擇的第三方 DNS 解析器

如果你已經(jīng)知道 DNS 意味著什么，那么你可能會(huì)決定使用你選擇的另一個(gè) DNS 解析器。這可能會(huì)改善這種情況，因?yàn)樗鼓愕?ISP 更難以跟蹤你，并且你可以避免某些形式的審查。盡管追蹤和審查仍然是可能的，但這種方法并沒有被廣泛使用。

你自己(本地)的 DNS 解析器

你可以自己動(dòng)手，避免使用別人的 DNS 解析器的一些危險(xiǎn)。如果你對(duì)此感興趣，請(qǐng)告訴我們。

根證書

什么是根證書?

每當(dāng)你訪問以 https 開頭的網(wǎng)站時(shí)，你都會(huì)使用它發(fā)送的證書與之通信。它使你的瀏覽器能夠加密通信并確保沒有人可以窺探。這就是為什么每個(gè)人都被告知在登錄網(wǎng)站時(shí)要注意 https(而不是 http)。證書本身僅用于驗(yàn)證是否為某個(gè)域所生成。以及：

這就是根證書的來源?？梢云湟暈橐粋€(gè)更高的級(jí)別，用來確保其下的級(jí)別是正確的。它驗(yàn)證發(fā)送給你的證書是否已由證書頒發(fā)機(jī)構(gòu)授權(quán)。此權(quán)限確保創(chuàng)建證書的人實(shí)際上是真正的運(yùn)營(yíng)者。

這也被稱為信任鏈。默認(rèn)情況下，你的操作系統(tǒng)包含一組這些根證書，以確保該信任鏈的存在。

濫用

我們現(xiàn)在知道：

DNS 解析器在你發(fā)送域名時(shí)向你發(fā)送 IP 地址

證書允許加密你的通信，并驗(yàn)證它們是否為你訪問的域生成

根證書驗(yàn)證該證書是否合法，并且是由真實(shí)站點(diǎn)運(yùn)營(yíng)者創(chuàng)建的

怎么會(huì)被濫用呢?

• 如前所述，惡意 DNS 解析器可能會(huì)向你發(fā)送錯(cuò)誤的 IP 以進(jìn)行審查。它們還可以將你導(dǎo)向完全不同的網(wǎng)站。
• 這個(gè)網(wǎng)站可以向你發(fā)送假的證書。
• 惡意的根證書可以“驗(yàn)證”此假證書。

對(duì)你來說，這個(gè)網(wǎng)站看起來絕對(duì)沒問題;它在網(wǎng)址中有 https，如果你點(diǎn)擊它，它會(huì)說已經(jīng)通過驗(yàn)證。就像你了解到的一樣，對(duì)嗎?不對(duì)!

它現(xiàn)在可以接收你要發(fā)送給原站點(diǎn)的所有通信。這會(huì)繞過想要避免被濫用而創(chuàng)建的檢查。你不會(huì)收到錯(cuò)誤消息，你的瀏覽器也不會(huì)發(fā)覺。

而你所有的數(shù)據(jù)都會(huì)受到損害!

結(jié)論

風(fēng)險(xiǎn)

• 使用惡意 DNS 解析器總是會(huì)損害你的隱私，但只要你注意 https，你的安全性就不會(huì)受到損害。
• 使用惡意 DNS 解析程序和惡意根證書，你的隱私和安全性將完全受到損害。

可以采取的動(dòng)作

不要安裝第三方根證書!只有非常少的例外情況才需要這樣做，并且它們都不適用于一般最終用戶。

不要被那些“廣告攔截”、“軍事級(jí)安全”或類似的東西營(yíng)銷噱頭所吸引。有一些方法可以自行使用 DNS 解析器來增強(qiáng)你的隱私，但安裝第三方根證書永遠(yuǎn)不會(huì)有意義。你正在將自己置身于陷阱之中。

實(shí)際看看

警告

有位友好的系統(tǒng)管理員提供了一個(gè)現(xiàn)場(chǎng)演示，你可以實(shí)時(shí)看到自己。這是真事。

千萬(wàn)不要輸入私人數(shù)據(jù)!之后務(wù)必刪除證書和該 DNS!

如果你不知道如何操作，那就不要安裝它。雖然我們相信我們的朋友，但你不要隨便安裝隨機(jī)和未知的第三方根證書。

實(shí)際演示

鏈接在這里： http://https-interception.info.tm/

• 設(shè)置所提供的 DNS 解析器
• 安裝所提供的根證書
• 訪問 https://paypal.com 并輸入隨機(jī)登錄數(shù)據(jù)
• 你的數(shù)據(jù)將顯示在該網(wǎng)站上