我們可以依靠HTTPS來確保我們的安全嗎

2023.11.07

我們可以依靠HTTPS來確保我們的安全嗎

用外行人的話來說,加密的DNS加密了所造訪的頁面的主機名稱。因為DNS是將實際的數值IP位址對應到網站位址的系統,這項發展使得攻擊者的解密工作變得更加困難。

HTTPS 是Web 連線的守護者

大多數網址以 https開頭,其中的's'表示與你正在造訪的網站的安全連線。

HTTPS 代表 Hypertext Transfer Protocol Secure,它加密了透過網路傳送的訊息,主要是在你的裝置(PC或手機)和網站伺服器之間。作為一個更安全的網路宇宙的基石,HTTPS 阻止了潛在的跨數位空間傳輸內容的攔截,包括你的私人訊息、支付資訊或你正在探索的任何的影片。

然而,總是有方法可以繞過這樣的安全措施。在你的辦公室監控網路流量的IT管理員可能會窺視你的網路活動,即使透過代理商也是如此。

如何引入HTTPS?

傳統上,網站並沒有普遍採用HTTPS。確立這項協議作為常見做法的道路值得我們關注。關鍵因素涉及安全證書,這些電子文件產生了HTTPS加密。透過將公鑰與額外的驗證使用者網站身分的功能結合,HTTPS的核心開始形成。

圖片圖片

與直覺相反,任何實體都可以製作一個證書,但是,它需要一個證書頒發機構的簽名才能讓你的瀏覽器驗證其合法性,從而為用戶提供地址欄角落裡的那個令人安心的鎖圖標。

獲得證書的過程要求網站所有者證明他們控制了證書上顯示的網域。沒有證書頒發機構的簽章並不會貶低加密過程。

一個自簽署的憑證將提供相同的功能,但是,問題在於使用者對連線的另一端是誰的知識和信任。

有人可能無意中將他們的數據贈送給攻擊者嗎?

安全證書的民主化

由於證書頒發機構以前收取高昂的價格,高達每年數百美元來獲得他們的認證,因此許多網站所有者,尤其是那些運營較小網站的所有者,由於這一過程的昂貴而選擇退出。然而,潮流已經轉變。現在,得到證書簽名相對簡單且免費,這要歸功於由電子前沿基金會和眾多技術巨頭支持的非營利權威機構Let's Encrypt。

Chrome 採取的積極方法,即當一個站點沒有得到公認的權威簽名時給出鮮明的警告,肯定加速了HTTPS的採納過程。

然而,需要注意的是:對於不使用HTTPS的站點,你不會收到警告,這就是為什麼總是建議掃描地址欄,確保你不會陷入一個簡單的HTTP陷阱。

關於HTTPS 的常見誤解

雖然HTTPS在今天無處不在,而且起著至關重要的作用,但一些誤解導致了一些人高估了他們的瀏覽隱私。

一個普遍的誤解是,HTTPS 的鎖圖標確保了一個值得信賴的站點,這種觀念與事實大相徑庭。存在許多釣魚網站,它們令人信服地模仿合法網站,它們的欺詐行為通常在地址欄顯示的URL中可見。攻擊者擁有這些URL,使得他們的憑證能夠被簽名,但不是使用者認為他們正在訪問的實際網站。因此,總是密切注意URL,尤其是如果你懷疑釣魚攻擊。

另一個要記住的關鍵是,HTTPS 不會加密元數據,這包括URL。因此,網路管理員、攻擊者或ISP可以確定你正在造訪的網站,或者在某些條件下甚至是特定頁面。好消息是:加密的DNS的出現使竊聽變得越來越困難。

加密的DNS可能是隱私的未來

用外行人的話來說,加密的DNS加密了所造訪的頁面的主機名稱。因為DNS是將實際的數值IP位址對應到網站位址的系統,這項發展使得攻擊者的解密工作變得更加困難。

圖片圖片

Windows 使用者可以啟用加密的DNS,從而提供更多一層的隱私保護,其作用與HTTPS 本身類似--讓那些愛管閒事的旁觀者更加難以捉摸!但是,透過有意識、謹慎和協作,我們可以更有效地導航和保護我們的數位旅程。