什么是DNS和根证书
2019-09-10魏可源
魏可源
关于DNS和根证书需要了解的内容。
什么是DNS。为什么它与你有关?
DNS的意思是域名系统(DomainName System),你每天都会接触到它。每当你的Web浏览器或任何其他应用程序连接到互联网时,它就很可能会使用域名。简单来说,域名就是键入的地址:例如baidB.com。你的计算机需要知道它所导向的地方,会向DNS解析器寻求帮助。而它将返回类似176.34.155.23这样的IP——这就是连接时所需要知道的公开网络地址。此过程称为DNS查找。
这对你的隐私、安全及自由都有一定的影响:
隐私
由于你要求解析器获取域名的IP,因此它会确切地知道你正在访问哪些站点,并且由于“物联网”(通常缩写为IoT),甚至它还知道你在家中使用的是哪个设备。
安全
你可以相信解析器返回的IP是正确的,有一些检查措施可以确保如此,在正常情况下一般不是问题。但这些措施可能会被破坏。如果返回的IP不正确,你可能会被欺骗引向了恶意的第三方——甚至你都不会注意到任何差异。在这种情况下,隐私会受到更大的危害,因为不仅会被跟踪访问了什么网站,甚至访问的内容也会被跟踪。第三方可以准确地看到你正在查看的内容,收集你输入的个人信息(例如密码)等。你的整个身份可以被轻松接管。
自由
审查通常通过DNS实施,这不是最有效的方法,但它非常普遍,即使在西方国家,它也经常被公司和政府使用。它们使用与潜在攻击者相同的方法,当你查询IP地址时,它们不会返回正确的IP,可以表现得就好像某个域名不存在,或完全将访问指向别处。
DNS查询的方式
ISP提供的第三方DNS解析器
大多数人都在使用由互联网接入提供商(ISP)提供的第三方解析器。当你连接调制解调器或宽带路由器时,这些DNS解析器会被自动取出,而你可能从来没注意过它。
自己选择的第三方DNS解析器
如果已经知道DNS意味着什么,你可能会决定使用选择的另一个DNS解析器。这可能会改善这种情况,因为它使你的ISP更难以跟踪,并且可以避免某些形式的审查。尽管追踪和审查仍然是可能的,但这种方法并没有被广泛使用。
根证书
什么是根证书?
每当你访问以https开头的网站时,都会使用它发送的证书与之通信,它使浏览器能够加密通信并确保没有人可以窥探。这就是为什么每个人都被告知在登录网站时要注意https而不是http,证书本身仅用于验证是否为某个域所生成。这就是根证书的来源,可以将其视为一个更高的级别,用来确保其下的级别是正确的。它验证发送的证书是否已由证书颁发机构授权,此权限确保创建证书的人实际上是真正的运营者。
这也被称为信任链。默认情况下,操作系统包含一组这些根证书,以确保该信任链的存在。
滥用
DNS解析器在发送域名时发送IP地址,证书允许加密通信,并验证它们是否为访问的域生成根证书验证该证书是否合法,并且是由真实站点运营者创建的怎么会被滥用呢?
如前所述,恶意DNS解析器可能会发送错误的IP以进行审查,它们还可以将你导向完全不同的网站。这个网站可以发送假的证书,恶意的根证书可以“验证”此假证书。对你来说,这个网站看起来绝对没问题,它在网址中有https,如果点击它,它会说已经通过验證。就像你了解到的一样,对吗?不对!
它现在可以接收你要发送给原站点的所有通信,这会绕过想要避免被滥用而创建的检查。你不会收到错误的消息,浏览器也不会发觉,但所有的数据都会受到损害!
结论
风险
使用恶意DNS解析器总是会损害你的隐私,但只要你注意https,你的安全性就不会受到损害。