由于最近发生的事件,我们(Privacy Today 组织)觉得有必要就此事撰写一篇短文。本文面向所有读者,因此将尽量简洁 - 技术细节可能会在后续文章中介绍。
什么是 DNS 以及它为什么对您很重要?
DNS 代表域名系统,您每天都会接触到它。每当您的 Web 浏览器或任何其他应用程序连接到互联网时,它很可能会使用域名。简单来说,域名就是您输入的地址:例如,您的计算机需要知道将其指向何处,它会向 DNS 解析器寻求帮助。它将返回一个 IP,例如 176.34.155.23 - 这是您需要知道才能连接的公共网络地址。此过程称为 DNS 查找。
这对您的隐私、安全和自由有影响:
隐私
由于您要求解析器获取您的域名的 IP,因此它确切地知道您正在访问哪些网站,并且由于“物联网”(通常缩写为 IoT),它甚至知道您在家中使用哪种设备。
安全
您可以相信解析器返回的 IP 是正确的。有检查来确保这一点,在正常情况下这不是问题。但这些检查可能会被破坏,这就是撰写本文的原因。如果返回的 IP 不正确,您可能会被诱骗被定向到恶意第三方 - 甚至不会注意到任何差异。在这种情况下,您的隐私会受到更大的损害,因为您不仅可以跟踪您访问的网站,而且您访问的内容也可以被跟踪。第三方可以准确地看到您正在查看的内容,收集您输入的个人信息(例如密码)等等。您的整个身份很容易被接管。
自由的
审查通常通过 DNS 实施。这不是最有效的方法,但非常常见。即使在西方国家,公司和政府也经常使用这种方法。他们使用的方法与潜在攻击者相同;当您查找 IP 地址时,他们不会返回正确的 IP。他们可以假装域名不存在,或者将访问指向完全其他地方。
DNS 查询方法
[/erji]您的 ISP 提供的第三方 DNS 解析器[/erji]
大多数人使用互联网接入提供商 (ISP) 提供的第三方解析器。当您连接调制解调器时,这些 DNS 解析器会自动被拾取,您可能永远不会注意到它。
[/erji]您选择的第三方 DNS 解析器[/erji]
如果您已经知道 DNS 的含义,您可能会决定使用您选择的另一个 DNS 解析器。这可能会改善这种情况,因为它会使您的 ISP 更难跟踪您,并且您可以避免某些形式的审查。虽然跟踪和审查仍然可能,但这种方法并不广泛使用。
您自己的(本地)DNS解析器
您可以自行开发,并避免使用他人 DNS 解析器带来的一些危险。如果您对此感兴趣,请告知我们。
根证书
什么是根证书?
每当您访问以 https 开头的网站时,您都会使用它发送的证书与其通信。它使您的浏览器能够加密通信并确保没有人可以窥探。这就是为什么每个人都被告知在登录网站时要注意 https(而不是 http)。证书本身仅用于验证它是否为某个域生成。以及:
这就是根证书的作用所在。可以将其视为一个更高的级别,以确保其下级证书的正确性。它验证发送给您的证书是否已获得证书颁发机构的授权。该机构确保创建证书的人实际上是真正的操作员。
这也称为信任链。默认情况下,您的操作系统包含一组这样的根证书,以确保此信任链存在。
虐待
我们现在知道:
它怎么会被滥用呢?
对你来说,这个网站看起来完全没问题;它的 URL 中有 https,如果你点击它,它会显示它已经验证。就像你知道的那样,对吧?错了!
现在它将接收您发送到原始网站的所有流量。这将绕过为防止滥用而创建的检查。您不会收到错误消息,您的浏览器也不会注意到。
您的所有数据都将受到损害!
综上所述
风险
您可以采取的行动
不要安装第三方根证书!这方面只有极少数例外,并且这些证书都不适合一般最终用户。
不要被“广告拦截”、“军用级安全”之类的营销噱头所欺骗。您可以自行使用 DNS 解析器来增强隐私,但安装第三方根证书是没有意义的。您是在给自己设陷阱。
看一看
警告
一位友善的系统管理员提供了现场演示,您可以实时亲眼观看。这是真实的事情。
不要输入任何私人数据!之后请务必删除证书和 DNS!
如果你不知道怎么做,就不要安装。虽然我们相信我们的朋友,但你不应该安装随机的和未知的第三方根证书。
实际演示
链接在这里:
更多信息
如果您对更多技术细节感兴趣,请告诉我们。如果有足够多的人感兴趣,我们可能会写一篇文章,但目前最重要的是分享基础知识,以便您做出明智的决定,避免陷入营销和骗局。请随时提出您感兴趣的其他主题。