DNS 和根證書

2019-02-13 13:05:00

關於 DNS 和根證書你需要了解的內容。

由於最近發生的一些事件,我們(Privacy Today 組織)感到有必要寫一篇關於此事的短文。它適用於所有讀者,因此它將保持簡單 —— 技術細節可能會在稍後的文章發布。

什麼是 DNS,為什麼它與你有關?

DNS 的意思是域名系統Domain Name System,你每天都會接觸到它。每當你的 Web 瀏覽器或任何其他應用程式連線到網際網路時,它就很可能會使用域名。簡單來說,域名就是你鍵入的地址:例如 duckduckgo.com。你的計算機需要知道它所導向的地方,會向 DNS 解析器尋求幫助。而它將返回類似 176.34.155.23 這樣的 IP —— 這就是連線時所需要知道的公開網路地址。 此過程稱為 DNS 查詢。

這對你的隱私、安全以及你的自由都有一定的影響:

隱私

由於你要求解析器獲取域名的 IP,因此它會確切地知道你正在存取哪些站點,並且由於“物聯網”(通常縮寫為 IoT),甚至它還知道你在家中使用的是哪個裝置。

安全

你可以相信解析器返回的 IP 是正確的。有一些檢查措施可以確保如此,在正常情況下這一般不是問題。但這些可能措施會被破壞,這就是寫作本文的原因。如果返回的 IP 不正確,你可能會被欺騙引向了惡意的第三方 —— 甚至你都不會注意到任何差異。在這種情況下,你的隱私會受到更大的危害,因為不僅會被跟蹤你存取了什麼網站,甚至你存取的內容也會被跟蹤。第三方可以準確地看到你正在檢視的內容,收集你輸入的個人資訊(例如密碼)等等。你的整個身份可以輕鬆接管。

自由

審查通常是通過 DNS 實施的。這不是最有效的方法,但它非常普遍。即使在西方國家,它也經常被公司和政府使用。他們使用與潛在攻擊者相同的方法;當你查詢 IP 地址時,他們不會返回正確的 IP。他們可以表現得就好像某個域名不存在,或完全將存取指向別處。

DNS 查詢的方式

由你的 ISP 提供的第三方 DNS 解析器

大多數人都在使用由其網際網路接入提供商(ISP)提供的第三方解析器。當你連線數據機時(LCTT 譯註:或寬頻路由器),這些 DNS 解析器就會被自動取出,而你可能從來沒注意過它。

你自己選擇的第三方 DNS 解析器

如果你已經知道 DNS 意味著什麼,那麼你可能會決定使用你選擇的另一個 DNS 解析器。這可能會改善這種情況,因為它使你的 ISP 更難以跟蹤你,並且你可以避免某些形式的審查。儘管追蹤和審查仍然是可能的,但這種方法並沒有被廣泛使用。

你自己(本地)的 DNS 解析器

你可以自己動手,避免使用別人的 DNS 解析器的一些危險。如果你對此感興趣,請告訴我們。

根證書

什麼是根證書?

每當你存取以 https 開頭的網站時,你都會使用它傳送的證書與之通訊。它使你的瀏覽器能夠加密通訊並確保沒有人可以窺探。這就是為什麼每個人都被告知在登入網站時要注意 https(而不是 http)。證書本身僅用於驗證是否為某個域所生成。以及:

這就是根證書的來源。可以其視為一個更高的級別,用來確保其下的級別是正確的。它驗證傳送給你的證書是否已由證書頒發機構授權。此許可權確保建立證書的人實際上是真正的運營者。

這也被稱為信任鏈。預設情況下,你的作業系統包含一組這些根證書,以確保該信任鏈的存在。

濫用

我們現在知道:

  • DNS 解析器在你傳送域名時向你傳送 IP 地址
  • 證書允許加密你的通訊,並驗證它們是否為你存取的域生成
  • 根證書驗證該證書是否合法,並且是由真實站點運營者建立的

怎麼會被濫用呢?

  • 如前所述,惡意 DNS 解析器可能會向你傳送錯誤的 IP 以進行審查。它們還可以將你導向完全不同的網站。
  • 這個網站可以向你傳送假的證書。
  • 惡意的根證書可以“驗證”此假證書。

對你來說,這個網站看起來絕對沒問題;它在網址中有 https,如果你點選它,它會說已經通過驗證。就像你了解到的一樣,對嗎?不對!

它現在可以接收你要傳送給原站點的所有通訊。這會繞過想要避免被濫用而建立的檢查。你不會收到錯誤訊息,你的瀏覽器也不會發覺。

而你所有的資料都會受到損害!

結論

風險

  • 使用惡意 DNS 解析器總是會損害你的隱私,但只要你注意 https,你的安全性就不會受到損害。
  • 使用惡意 DNS 解析程式和惡意根證書,你的隱私和安全性將完全受到損害。

可以採取的動作

不要安裝第三方根證書!只有非常少的例外情況才需要這樣做,並且它們都不適用於一般終端使用者。

不要被那些“廣告攔截”、“軍事級安全”或類似的東西行銷噱頭所吸引。有一些方法可以自行使用 DNS 解析器來增強你的隱私,但安裝第三方根證書永遠不會有意義。你正在將自己置身於陷阱之中。

實際看看

警告

有位友好的系統管理員提供了一個現場演示,你可以實時看到自己。這是真事。

千萬不要輸入私人資料!之後務必刪除證書和該 DNS!

如果你不知道如何操作,那就不要安裝它。雖然我們相信我們的朋友,但你不要隨便安裝隨機和未知的第三方根證書。

實際演示

連結在這裡:http://https-interception.info.tm/

  • 設定所提供的 DNS 解析器
  • 安裝所提供的根證書
  • 存取 https://paypal.com 並輸入隨機登入資料
  • 你的資料將顯示在該網站上

延伸資訊

如果你對更多技術細節感興趣,請告訴我們。如果有足夠多感興趣的人,我們可能會寫一篇文章,但是目前最重要的部分是分享基礎知識,這樣你就可以做出明智的決定,而不會因為行銷和欺詐而陷入陷阱。請隨時提出對你很關注的其他主題。

這篇文章來自 Privacy Today 頻道Privacy Today 是一個關於隱私、開源、自由哲學等所有事物的組織!

所有內容均根據 CC BY-NC-SA 4.0 獲得許可。(署名 - 非商業性使用 - 共用 4.0 國際)。