什么是DNS和根证书

来源:用户上传      作者:

　　关于DNS和根证书需要了解的内容。
　　什么是DNS，为什么它与你有关？
　　DNS的意思是域名系统（Domain Name System），你每天都会接触到它。每当你的Web浏览器或任何其他应用程序连接到互联网时，它就很可能会使用域名。简单来说，域名就是键入的地址：例如baidu.com。你的计算机需要知道它所导向的地方，会向DNS解析器寻求帮助。而它将返回类似176.34.155.23这样的IP———这就是连接时所需要知道的公开网络地址。此过程称为DNS查找。
　　这对你的隐私、安全及自由都有一定的影响：
　　隐私
　　由于你要求解析器获取域名的IP，因此它会确切地知道你正在访问哪些站点，并且由于“物联网”（通常缩写为IoT），甚至它还知道你在家中使用的是哪个设备。
　　安全
　　你可以相信解析器返回的IP是正确的，有一些检查措施可以确保如此，在正常情况下一般不是问题。但这些措施可能会被破坏。如果返回的IP不正确，你可能会被欺骗引向了恶意的第三方———甚至你都不会注意到任何差异。在这种情况下，隐私会受到更大的危害，因为不仅会被跟踪访问了什么网站，甚至访问的内容也会被跟踪。第三方可以准确地看到你正在查看的内容，收集你输入的个人信息（例如密码）等。你的整个身份可以被轻松接管。
　　自由
　　审查通常通过DNS实施，这不是最有效的方法，但它非常普遍，即使在西方国家，它也经常被公司和政府使用。它们使用与潜在攻击者相同的方法，当你查询IP地址时，它们不会返回正确的IP，可以表现得就好像某个域名不存在，或完全将访问指向别处。
　　DNS查询的方式
　　ISP提供的第三方DNS解析器
　　大多数人都在使用由互联网接入提供商（ISP）提供的第三方解析器。当你连接调制解调器或宽带路由器时，这些DNS解析器会被自动取出，而你可能从来没注意过它。
　　自己选择的第三方DNS解析器
　　如果已经知道DNS意味着什么，你可能会决定使用选择的另一个DNS解析器。这可能会改善这种情况，因为它使你的ISP更难以跟踪，并且可以避免某些形式的审查。尽管追踪和审查仍然是可能的，但这种方法并没有被广泛使用。
　　根证书
　　什么是根证书？
　　每当你访问以https开头的网站时，都会使用它发送的证书与之通信，它使浏览器能够加密通信并确保没有人可以窥探。这就是为什么每个人都被告知在登录网站时要注意https而不是http，证书本身仅用于验证是否为某个域所生成。这就是根证书的来源，可以将其视为一个更高的级别，用来确保其下的级别是正确的。它验证发送的证书是否已由证书颁发机构授权，此权限确保创建证书的人实际上是真正的运营者。
　　这也被称为信任链。默认情况下，操作系统包含一组这些根证书，以确保该信任链的存在。
　　滥用
　　DNS解析器在发送域名时发送IP地址，证书允许加密通信，并验证它们是否为访问的域生成根证书验证该证书是否合法，并且是由真实站点运营者创建的怎么会被滥用呢？
　　如前所述，恶意DNS解析器可能会发送错误的IP以进行审查，它们还可以将你导向完全不同的网站。这个网站可以发送假的证书，恶意的根证书可以“验证”此假证书。对你来说，这个网站看起来绝对没问题，它在网址中有https，如果点击它，它会说已经通过验证。就像你了解到的一样，对吗？不对！
　　它现在可以接收你要发送给原站点的所有通信，这会绕过想要避免被滥用而创建的检查。你不会收到错误的消息，浏览器也不会发觉，但所有的数据都会受到损害！
　　结论
　　风险
　　使用恶意DNS解析器总是会损害你的隐私，但只要你注意https，你的安全性就不会受到损害。
　　使用恶意DNS解析程序和恶意根证书，你的隐私和安全性将完全受到损害。
　　可以采取的动作
　　不要安装第三方根证书！只有非常少的例外情况才需要这样做，并且它们都不适用于一般最终用户。
　　不要被广告拦截、军事级安全或类似的营销噱头所吸引，有一些方法可以自行使用DNS解析器来增强你的隐私，但安装第三方根证书永远不会有意义，你正在将自己置身于陷阱之中。
　　警告
　　有位友好的系统管理员提供了一个现场演示，你可以实时看到自己，这是真事。千万不要輸入私人数据！之后务必删除证书和该DNS！如果你不知道如何操作，那就不要安装它。虽然我们相信朋友，但不要随便安装随机和未知的第三方根证书。
转载注明来源:https://www.xzbu.com/1/view-14739679.htm