快连VPN:速度和安全性最佳的VPN服务
目录
- B2B – VPN 的作用是什么?
- B2C 第二部分 – DNS over HTTPS 如何工作?
- DoH vs DoT vs VPN
- 总结
剑桥分析公司(Cambridge Analytica)丑闻或许已经过去,但其影响深远——互联网用户对在线隐私的关注日益增加,网站所有者被迫列出其数据收集隐私政策。我们可以肯定地说,这场丑闻带来了一些积极的结果,尽管大量的文书工作可能会让一些有良好商业想法的人感到沮丧。
在谈论隐私的话题时,似乎我们可能又面临着一个新的剑桥分析事件。最近,关于 DoH(DNS over HTTPS)的实施引起了广泛关注,这是一种相对新的加密通信协议,理论上应当维护隐私。
正如我的一位同事所指出的,DNS over HTTPS 有望成为下一个“黄金标准”,因为它实现了“前所未有的默认隐私和数据保护水平”。DoH 确实有其优点——在传统的 DNS 通信模型中,用户查询域名系统以获取与特定网站关联的数字 IP 地址。
DNS 返回地址后,用户便可以查看请求的网页内容。大致上,这就是网络浏览的工作原理。这个通信协议的一个主要缺陷是 DNS 查找并未加密。实际上,每次你试图连接到一个网站时,终端设备都会向互联网服务提供商(ISP)发送请求。当然,您的 ISP 对您在该网站上所做的事情并不知情,但仍然可以“看到”并记录您的请求。
这正是一个痛点,谷歌、Mozilla 等公司在揣测市场“需求”方面做得非常出色。对 DNS over HTTPS 的推动达到了顶峰,浏览器现在允许用户实施该协议。尽管在防止中间人攻击(MiM)方面效果有限,但早期的采用可能会在用户背上画上一个巨大的靶心。
去年十月,ZDNet 指出,过早采用 DoH 不仅会在企业/中小企业/初创公司领域造成混乱,也可能让恶意黑客占据上风。接下来,我将在整篇文章中讨论这些观点。
既然今天的话题围绕隐私和数据保护展开,那么这里有一个有趣的两难问题:DNS over HTTPS 应该取代 VPN 还是与之协同工作?我们是否应该完全忘记 VPN,而坚持使用这种新的“摇摇欲坠”的技术?
B2B – VPN 的作用是什么?
在试图弄清楚 DoH 如何取代 VPN 时,我不得不进行一次简单的回归(B2B)之旅。请耐心陪伴我。
现在,考虑一下您的终端设备(即智能手机、平板电脑、PC、Mac)如何连接到互联网。假设您想在 YouTube 上搜索最新的《巫师》预告片。为此,您需要“走出去”,询问 ISP 的 DNS,以获取 YouTube 的数字 IP。
一旦服务器找到正确的地址,您就能够访问互联网中 YouTube 所在的位置(这里有龙!)。乍一看,这个机制似乎简单而安全。然而,请记住,通信是双向的(终端到 ISP 和 ISP 到互联网),而且不幸的是,这两者都没有加密。
解决这一问题的传统方案是 VPN。VPN 的作用是在查询计算机、ISP 和互联网之间插入一个 VPN 客户端和 VPN 服务器。进一步分解后,它的工作流程大致如下:终端希望访问 Wikipedia。请求以未加密的形式发送到 VPN 客户端。客户端加密包含请求的数据包,并将其通过 ISP 发送。随后,ISP 将加密请求发送到 VPN 服务器,后者与互联网进行通信。基本上,ISP 将对您的搜索内容一无所知。
这就是 VPN 的工作原理。接下来,让我们更详细地看看 DNS over HTTPS。
B2C 第二部分 – DNS over HTTPS 如何工作?
DNS over HTTPS——本文的核心。它可能是自 GDPR 实施以来对隐私的最佳贡献,但我对此说法持有严重怀疑。稍后我会详细说明。
正如我提到的,DoH 原本是数据隐私和保护的黄金标准。DNS over HTTPS 的想法是防止所有人(ISP、政府、秘密服务、黑客)窥探您的流量。更重要的是,直到现在,DNS 查询都是以明文形式进行的。
记住密码创建的黄金法则吗?永远不要将密码留在明文中,这可能意味着从将其写在记事本中到在计算机上保留网络日志。
基本上,在传统的 DNS 通信模型中,明文 DNS 查询可以被任何 IP 匹配实体检索和审查。因此,迫切需要一种更安全的通信解决方案。于是,DNS over HTTPS 应运而生。它特别设计用来解决这个问题。它应该成为常态吗?也许,但在目前的状态下并不行。
与 DoH 竞争的是 DNS over TLS(DoT),这是一种使用专用通信端口的安全协议。虽然一些系统管理员认为两者都无法解决问题,但他们倾向于选择“较小的恶”,即 DNS over TLS。为什么这么说?
正如我提到的,DNS over TLS 使用您计算机上的专用通信端口(853),而 DoH 使用标准的 HTTPS 流量端口(443)。那么,这为什么重要呢?通过 853 路由的流量虽然是加密的,但仍然可以在网络级别被看到。在一些国家(例如美国),DNS over TLS 连接可能会引发对您在线活动的某些怀疑。
接下来,关注更紧迫的问题——DNS over HTTPS 在 HTTPS 流中隐藏流量信息,而 DoT 则不然。这甚至不是主要问题。DoH 的推广意味着我们需要改变整个网络基础设施的视角。
为了实现这一目标,ISP 需要实施 DoH 解析器(能够处理 DoH 类型查询的 DNS 服务器)。显然,现有架构需要进行相当激进的改造。这意味着更多的资金、时间和精力,最终可能会浪费在一个解决方案上,这个解决方案可能增加了问题而没有真正解决它。
归根结底,加密的 DNS 通信应该成为行业标准,但无论是 DoH 还是 DoT 都不是答案。
DoH vs DoT vs VPN
整个讨论围绕隐私与安全展开——您是否愿意在某一瞬间放下警惕,以确保没有人可以监视您?如果我们去掉上下文问同样的问题,答案肯定是“坚决不”。然而,考虑到我们迄今所知的,很难预测结果,更不用说做出可能最终破坏我们认为拥有的那点隐私的决定。
DoH 与 DoT
在前一部分中,我概述了使用 DoH 相对于 DoT 的一些优缺点。以下是每种通信方法的优缺点的简短综合列表。
DNS over HTTPS
优点: - 防止中间人攻击。没有更多明文 DNS 查询,因为它们是安全的。 - 避免 ISP 或第三方拦截。所有数据包都被模糊化。 - 机器性能显著提高,因为 DNS over HTTPS 方法集中处理所有 DNS 流量,意味着处理查询所需的服务器更少。 - 大多数浏览器制造商推动 DoH,这意味着更快的部署。
缺点: - 在企业领域造成混乱。基础设施扩展本身会增加成本。 - 仅阻止一个跟踪向量。确实,ISP 或第三方无法看到您的 DNS 请求,但还有其他方式来监控您的在线活动。
总结
总的来说,DNS over HTTPS 是否应成为黄金标准仍然是一个值得深思的问题。在隐私和安全之间的权衡中,我们必须仔细考虑每个选项的优缺点,以便做出明智的决定。虽然 DoH 提供了一种保护隐私的新方式,但我们不应忽视 VPN 在确保安全和隐私方面的重要作用。
