什么是DNS和根證書

魏可源

關(guān)于DNS和根證書需要了解的內(nèi)容。

什么是DNS。為什么它與你有關(guān)？

DNS的意思是域名系統(tǒng)（DomainName System），你每天都會接觸到它。每當(dāng)你的Web瀏覽器或任何其他應(yīng)用程序連接到互聯(lián)網(wǎng)時，它就很可能會使用域名。簡單來說，域名就是鍵入的地址：例如baidB.com。你的計算機需要知道它所導(dǎo)向的地方，會向DNS解析器尋求幫助。而它將返回類似176.34.155.23這樣的IP——這就是連接時所需要知道的公開網(wǎng)絡(luò)地址。此過程稱為DNS查找。

這對你的隱私、安全及自由都有一定的影響：

隱私

由于你要求解析器獲取域名的IP，因此它會確切地知道你正在訪問哪些站點，并且由于“物聯(lián)網(wǎng)”（通?？s寫為IoT），甚至它還知道你在家中使用的是哪個設(shè)備。

安全

你可以相信解析器返回的IP是正確的，有一些檢查措施可以確保如此，在正常情況下一般不是問題。但這些措施可能會被破壞。如果返回的IP不正確，你可能會被欺騙引向了惡意的第三方——甚至你都不會注意到任何差異。在這種情況下，隱私會受到更大的危害，因為不僅會被跟蹤訪問了什么網(wǎng)站，甚至訪問的內(nèi)容也會被跟蹤。第三方可以準(zhǔn)確地看到你正在查看的內(nèi)容，收集你輸入的個人信息（例如密碼）等。你的整個身份可以被輕松接管。

自由

審查通常通過DNS實施，這不是最有效的方法，但它非常普遍，即使在西方國家，它也經(jīng)常被公司和政府使用。它們使用與潛在攻擊者相同的方法，當(dāng)你查詢IP地址時，它們不會返回正確的IP，可以表現(xiàn)得就好像某個域名不存在，或完全將訪問指向別處。

DNS查詢的方式

ISP提供的第三方DNS解析器

大多數(shù)人都在使用由互聯(lián)網(wǎng)接入提供商（ISP）提供的第三方解析器。當(dāng)你連接調(diào)制解調(diào)器或?qū)拵酚善鲿r，這些DNS解析器會被自動取出，而你可能從來沒注意過它。

自己選擇的第三方DNS解析器

如果已經(jīng)知道DNS意味著什么，你可能會決定使用選擇的另一個DNS解析器。這可能會改善這種情況，因為它使你的ISP更難以跟蹤，并且可以避免某些形式的審查。盡管追蹤和審查仍然是可能的，但這種方法并沒有被廣泛使用。

根證書

什么是根證書？

每當(dāng)你訪問以https開頭的網(wǎng)站時，都會使用它發(fā)送的證書與之通信，它使瀏覽器能夠加密通信并確保沒有人可以窺探。這就是為什么每個人都被告知在登錄網(wǎng)站時要注意https而不是http，證書本身僅用于驗證是否為某個域所生成。這就是根證書的來源，可以將其視為一個更高的級別，用來確保其下的級別是正確的。它驗證發(fā)送的證書是否已由證書頒發(fā)機構(gòu)授權(quán)，此權(quán)限確保創(chuàng)建證書的人實際上是真正的運營者。

這也被稱為信任鏈。默認(rèn)情況下，操作系統(tǒng)包含一組這些根證書，以確保該信任鏈的存在。

濫用

DNS解析器在發(fā)送域名時發(fā)送IP地址，證書允許加密通信，并驗證它們是否為訪問的域生成根證書驗證該證書是否合法，并且是由真實站點運營者創(chuàng)建的怎么會被濫用呢？

如前所述，惡意DNS解析器可能會發(fā)送錯誤的IP以進(jìn)行審查，它們還可以將你導(dǎo)向完全不同的網(wǎng)站。這個網(wǎng)站可以發(fā)送假的證書，惡意的根證書可以“驗證”此假證書。對你來說，這個網(wǎng)站看起來絕對沒問題，它在網(wǎng)址中有https，如果點擊它，它會說已經(jīng)通過驗證。就像你了解到的一樣，對嗎？不對！

它現(xiàn)在可以接收你要發(fā)送給原站點的所有通信，這會繞過想要避免被濫用而創(chuàng)建的檢查。你不會收到錯誤的消息，瀏覽器也不會發(fā)覺，但所有的數(shù)據(jù)都會受到損害！

結(jié)論

風(fēng)險

使用惡意DNS解析器總是會損害你的隱私，但只要你注意https，你的安全性就不會受到損害。