快连VPN:速度和安全性最佳的VPN服务
目錄
- B2B – VPN 的作用是什麼?
- B2C 第二部分– DNS over HTTPS 如何運作?
- DoH vs DoT vs VPN
- 總結
劍橋分析公司(Cambridge Analytica)醜聞可能已經過去,但其影響深遠——網路使用者對線上隱私的關注日益增加,網站所有者被迫列出其資料收集隱私政策。我們可以肯定地說,這場醜聞帶來了一些積極的結果,儘管大量的文書工作可能會讓一些有良好商業想法的人感到沮喪。
在談論隱私的話題時,似乎我們可能又面臨一個新的劍橋分析事件。最近,關於DoH(DNS over HTTPS)的實施引起了廣泛關注,這是一種相對新的加密通訊協議,理論上應維護隱私。
正如我的一位同事所指出的,DNS over HTTPS 預計將成為下一個“黃金標準”,因為它實現了“前所未有的預設隱私和資料保護水平”。 DoH 確實有其優點——在傳統的DNS 通訊模型中,使用者查詢網域名稱系統以取得與特定網站關聯的數位IP 位址。
DNS 回傳地址後,使用者便可查看所要求的網頁內容。大致上,這就是網頁瀏覽的工作原理。這個通訊協定的一個主要缺陷是DNS 查找並未加密。實際上,每次你試圖連接到一個網站時,終端設備都會向網路服務供應商(ISP)發送請求。當然,您的ISP 對您在網站上所做的事情並不知情,但仍然可以「看到」並記錄您的請求。
這正是一個痛點,Google、Mozilla 等公司在揣測市場「需求」方面做得非常出色。對DNS over HTTPS 的推動達到了頂峰,瀏覽器現在允許用戶實施該協定。儘管在防止中間人攻擊(MiM)方面效果有限,但早期的採用可能會在用戶背上畫上一個巨大的靶心。
去年十月,ZDNet 指出,過早採用DoH 不僅會在企業/中小企業/新創公司領域造成混亂,也可能讓惡意駭客佔上風。接下來,我將在整篇文章中討論這些觀點。
既然今天的話題是圍繞著隱私和資料保護展開,那麼這裡有一個有趣的兩難:DNS over HTTPS 應該取代VPN 還是與之協同工作?我們是否應該完全忘記VPN,而堅持使用這種新的「搖搖欲墜」的技術?
B2B – VPN 的作用是什麼?
在試圖弄清楚DoH 如何取代VPN 時,我不得不進行一次簡單的回歸(B2B)之旅。請耐心陪伴我。
現在,考慮一下您的終端設備(即智慧型手機、平板電腦、PC、Mac)如何連接到網路。假設您想在YouTube 上搜尋最新的《巫師》預告片。為此,您需要“走出去”,詢問ISP 的DNS,以獲取YouTube 的數位IP。
一旦伺服器找到正確的位址,您就能夠存取網路中YouTube 所在的位置(這裡有龍!)。乍一看,這個機制似乎簡單又安全。然而,請記住,通訊是雙向的(終端到ISP 和ISP 到網路),不幸的是,這兩者都沒有加密。
解決這問題的傳統方案是VPN。 VPN 的作用是在查詢電腦、ISP 和網際網路之間插入VPN 用戶端和VPN 伺服器。進一步分解後,它的工作流程大致如下:終端希望訪問Wikipedia。請求以未加密的形式傳送到VPN 用戶端。客戶端加密包含請求的資料包,並將其透過ISP 發送。隨後,ISP 將加密請求傳送到VPN 伺服器,後者與網際網路通訊。基本上,ISP 將對您的搜尋內容一無所知。
這就是VPN 的工作原理。接下來,讓我們更詳細地看看DNS over HTTPS。
B2C 第二部分– DNS over HTTPS 如何運作?
DNS over HTTPS-本文的核心。它可能是自GDPR 實施以來對隱私的最佳貢獻,但我對此說法有嚴重懷疑。稍後我會詳細說明。
正如我所提到的,DoH 原本是資料隱私和保護的黃金標準。 DNS over HTTPS 的想法是防止所有人(ISP、政府、秘密服務、駭客)窺探您的流量。更重要的是,直到現在,DNS 查詢都是以明文形式進行的。
記住密碼創造的黃金法則嗎?永遠不要將密碼留在明文中,這可能意味著從將其寫在記事本中到在電腦上保留網路日誌。
基本上,在傳統的DNS 通訊模型中,明文DNS 查詢可以被任何IP 匹配實體檢索和審查。因此,迫切需要更安全的通訊解決方案。於是,DNS over HTTPS 應運而生。它特別設計用來解決這個問題。它應該成為常態嗎?也許,但在目前的狀態下並不行。
與DoH 競爭的是DNS over TLS(DoT),這是一種使用專用通訊連接埠的安全協定。雖然一些系統管理員認為兩者都無法解決問題,但他們傾向於選擇“較小的惡”,即DNS over TLS。為什麼這麼說?
如我所提到的,DNS over TLS 使用您電腦上的專用通訊連接埠(853),而DoH 使用標準的HTTPS 流量連接埠(443)。那麼,這為什麼重要呢?透過853 路由的流量雖然是加密的,但仍然可以在網路層級被看到。在某些國家(例如美國),DNS over TLS 連線可能會引發對您線上活動的某些懷疑。
接下來,請關注更緊迫的問題——DNS over HTTPS 在HTTPS 流中隱藏流量訊息,而DoT 則不然。這甚至不是主要問題。 DoH 的推廣意味著我們需要改變整個網路基礎架構的觀點。
為了實現這一目標,ISP 需要實作DoH 解析器(能夠處理DoH 類型查詢的DNS 伺服器)。顯然,現有架構需要進行相當激進的改造。這意味著更多的資金、時間和精力,最終可能會浪費在一個解決方案上,這個解決方案可能增加了問題而沒有真正解決它。
歸根結底,加密的DNS 通訊應該成為業界標準,但無論是DoH 還是DoT 都不是答案。
DoH vs DoT vs VPN
整個討論圍繞著隱私與安全——您是否願意在某一瞬間放下警惕,以確保沒有人可以監視您?如果我們去掉上下文問同樣的問題,答案肯定是「堅決不」。然而,考慮到我們迄今所知的,很難預測結果,更不用說做出可能最終破壞我們認為擁有的那點隱私的決定。
DoH 與DoT
在前一部分中,我概述了使用DoH 相對於DoT 的一些優缺點。以下是每種通訊方法的優缺點的簡短綜合清單。
DNS over HTTPS
優點: - 防止中間人攻擊。沒有更多明文DNS 查詢,因為它們是安全的。 - 避免ISP 或第三方攔截。所有資料包都被模糊化。 - 機器效能顯著提高,因為DNS over HTTPS 方法集中處理所有DNS 流量,意味著處理查詢所需的伺服器更少。 - 大多數瀏覽器製造商推動DoH,這意味著更快的部署。
缺點: - 在企業領域造成混亂。基礎設施擴展本身會增加成本。 - 僅阻止一個追蹤向量。確實,ISP 或第三方無法看到您的DNS 請求,但也有其他方式來監控您的線上活動。
總結
總的來說,DNS over HTTPS 是否應該成為黃金標準仍然是一個值得深思的問題。在隱私和安全之間的權衡中,我們必須仔細考慮每個選項的優缺點,以便做出明智的決定。雖然DoH 提供了保護隱私的新方式,但我們不應忽視VPN 在確保安全和隱私方面的重要作用。
