为什么单独使用 HTTPS 无法保证您在公共 WiFi 上的安全

大多数网站现在使用 HTTPS 来加密您的连接并为您的数据添加额外的保护层。 但是如果你在公共 WiFi 上,使用没有 VPN 的 HTTPS 意味着你的一些数据仍然容易受到攻击。

编辑:这篇博文的早期版本可能被误解为暗示 TLS 1.2 已被破坏。 我们删除了可能导致这种混淆的部分。

安全超文本传输​​协议或 HTTPS 对您的设备和网站之间的流量进行加密,使入侵者难以观察到共享的信息。 它还提供签名或 HTTPS 证书,允许您验证您所在的站点是否由其声称的站点运行。 HTTPS 已成为几乎所有网站的标准安全功能。

如果 HTTPS 加密您与网站的连接,那么公共 WiFi 不安全吗? 不幸的是,HTTPS 不会加密您的所有数据,例如 DNS 查询。 如果您在没有 VPN 的情况下使用公共 WiFi,您将面临风险。

HTTPS 的工作原理

HTTPS 使用传输层安全 (TLS) 协议来保护 Web 浏览器和网站之间的连接。 协议只是一组规则和指令,用于管理计算机怎样相互通信。 TLS 协议是保护在线连接的支柱。 它允许您输入您的登录凭据、浏览网站或执行网上银行,而其他人不会看到这些内容。

TLS 使用私钥加密。 密钥只是参与消息传输的计算机的代码,而私钥是不向公众开放的。 为确保其连接的完整性,您的浏览器和 Internet 服务器通过共享公钥来启动“握手”。 建立握手后,服务器和浏览器会协商私钥以加密您的连接。 每个连接都会生成自己的唯一私钥,并且在传输单个字节数据之前对连接进行加密。 一旦加密到位,入侵者就无法在不被发现的情况下监控或修改 Web 浏览器和网站之间的通信。

TLS 还提供用于验证网站凭据的数字证书,并让您知道数据来自受信任的来源(或声称是其中来源的网站)。 数字证书由认证机构颁发。

正如我们将在下面讨论的那样,该系统仍然存在某些漏洞,但它被认为是安全的。 在没有 VPN 的情况下使用公共 WiFi 的第一个漏洞是 TLS 不保护域名系统 (DNS) 查询(目前)。

什么是 DNS 查询?

域名系统将人类友好的 URL 转换为计算机可以理解的数字 IP 地址。 为了 example要访问我们的网站,请输入 URL https://protonvpn.com,但您的计算机会将其视为 [185.70.40.231]. 要查找此号码,您的 Web 浏览器使用通常由您的 Internet 服务提供商提供的所谓的 DNS 解析器。 把这个解析器想象成一个忙着将你想访问的网站的 URL 翻译成它的助手。 IP地址.

您的 DNS 请求未加密。 入侵者可以观察您的 DNS 查询以及您的 DNS 解析器对它们的响应。 这导致我们在没有 VPN 的情况下使用公共 WiFi 时可能遭受的第一次攻击:DNS 泄漏。

DNS泄漏

如果有人要监视您的 DNS 查询,他们将拥有您访问过的所有站点的列表以及您设备的 IP 地址。 鉴于大多数公共 WiFi 热点的安全性较弱,入侵者访问网络并记录您的 DNS 查询相对容易。 即使没有入侵者,您的数据仍可能面临风险,因为公共 WiFi 上的解析器可能会自行收集您的数据。

DNS 欺骗

DNS 泄漏允许入侵者监视您的活动,但如果攻击者欺骗您的 DNS 请求,他们可以将您重定向到他们控制的恶意站点。 也称为 DNS 中毒,当攻击者伪装成您的 DNS 解析器时,就会发生这种情况。 然后,攻击者伪造目标网站的 IP 地址,并将其替换为受其控制的网站的 IP 地址。 该 URL 将与您打算访问的站点相同,但该站点将处于攻击者的控制之下。 现代浏览器通常会提醒用户他们在没有 HTTPS 的站点上,并且这种攻击不适用于具有证书的 HTTPS 站点。

但是,通过 DNS 欺骗的变体,攻击者可以将您发送到一个与您打算访问的 URL 略有不同的站点。 想想“protomvpn.com”而不是“protonvpn.com”。 此外,这种类型的假网站可以使用 HTTPS 并拥有有效的证书。 您的浏览器会在地址旁边显示一个绿色锁,使其更难检测。

小码

不幸的是,最近 Punycode 攻击,黑客找到了一种方法,使两个网站具有相同的 URL 和有效的 HTTPS 证书。 Punycode 是 Web 浏览器使用的一种编码类型,用于将所有不同的 Unicode 字符(如 ß、竹或 Ж)转换为国际域名系统支持的有限字符集(AZ、0-9)。 作为一个 example,如果一个中文网站使用域名“竹.com”,在 Punycode 中,它将由“xn--2uz.com”表示。

入侵者发现,如果逆向输入 Punycode 字符作为域,只要所有字符都来自单一外语字符集且 Punycode 域与目标域完全匹配,那么浏览器会将其呈现在目标域的正常语言。 在里面 example 在上面链接的 The Hacker News 文章中,一位研究人员注册了域名“xn--80ak6aa92e.com”,该域名显示为“apple.com”。 研究人员甚至创造了 这个假苹果网站 演示仅使用 URL 和 HTTPS 信息来区分站点是多么困难。

作为研究人员 example 演示,Punycode 站点可以实现 HTTPS 并接收有效证书,使您很难检测到您在假站点上。 只有查看 HTTPS 证书的实际细节,才能区分“xn--80ak6aa92e.com”和“apple.com”。

幸运的是,许多浏览器已经解决了这个漏洞,现在大多数浏览器会将地址显示为 xn--80ak6aa92e.com

在公共 WiFi 上使用 VPN

这些只是您在使用不安全的公共 WiFi 网络时面临的一些漏洞。 即使您使用正确实施的 HTTPS 访问合法站点,它也可能包含来自不受 HTTPS 保护的站点的图像或脚本。 然后,攻击者可以使用这些脚本和图像将恶意软件传送到您的设备上。

值得信赖的 VPN 可以保护您免受所有这些漏洞的侵害。 VPN 会加密您的流量并通过 VPN 服务器对其进行路由,这意味着您的 Internet 服务提供商(或恶意 WiFi 热点的所有者)无法监控您的在线活动。 这种额外的加密将保护您的连接免受 TLS 降级攻击。

完善的 VPN 服务,例如 ProtonVPN,还运行他们自己的 DNS 服务器,以便他们可以加密和处理您的 DNS 查询。 ProtonVPN的应用程序通过强制您的浏览器通过我们的 DNS 服务器解析 DNS 查询来保护您免受 DNS 泄漏。 如果您断开连接,我们甚至会保护您的 DNS 查询。 如果您与 VPN 服务器断开连接,我们的 Kill Switch 功能会立即阻止所有网络连接,从而防止您的数据被暴露。

ProtonVPN的免费 VPN 计划为每个人提供了一种免费、简单的方法来保护他们的互联网连接免受这些攻击。 使用我们的免费 VPN 服务,您再也不必在没有 VPN 的情况下使用公共 WiFi。

最好的祝福,
这 ProtonVPN 团队

您可以在社交媒体上关注我们以了解最新消息 ProtonVPN 发布:

Twitter | Facebook | 红迪网

要获得免费的 ProtonMail 加密电子邮件帐户,请访问: protonmail.com