我们可以依靠HTTPS来保证我们的安全吗

文章正文
发布时间:2023-11-09 00:31

  HTTPS 是 Web 连接的守护者

  大多数网址以 https开头,其中的's'表示与你正在访问的网站的安全连接。

  HTTPS 代表 Hypertext Transfer Protocol Secure,它加密了通过互联网发送的信息,主要是在你的设备(PC或手机)和网站服务器之间。作为一个更安全的网络宇宙的基石,HTTPS 阻止了潜在的跨数字空间传输内容的拦截,包括你的私人消息、支付信息或你正在探索的任何的视频。

  然而,总是有方法可以绕过这样的安全措施。在你的办公室监控网络流量的IT管理员可能会窥视你的网络活动,即使通过代理也是如此。

  如何引入HTTPS?

  传统上,网站并没有普遍采用HTTPS。确立这一协议作为常见做法的道路值得我们关注。关键因素涉及安全证书,这些电子文档产生了HTTPS加密。通过将公钥与额外的验证用户网站身份的功能相结合,HTTPS的核心开始形成。

  与直觉相反,任何实体都可以制作一个证书,但是,它需要一个证书颁发机构的签名才能让你的浏览器验证其合法性,从而为用户提供地址栏角落里的那个令人安心的锁图标。

  获得证书的过程要求网站所有者证明他们控制了证书上显示的域名。没有证书颁发机构的签名并不会贬低加密过程。

  一个自签名的证书将提供相同的功能,但是,问题在于用户对连接的另一端是谁的知识和信任。

  有人可能无意中将他们的数据赠送给攻击者吗?

  安全证书的民主化

  由于证书颁发机构以前收取高昂的价格,高达每年数百美元来获得他们的认证,所以许多网站所有者,尤其是那些运营较小网站的所有者,由于这一过程的昂贵而选择退出。然而,潮流已经转变。现在,得到证书签名相对简单且免费,这要归功于由电子前沿基金会和众多技术巨头支持的非营利性权威机构Let's Encrypt。

  Chrome 采取的积极方法,即当一个站点没有得到公认的权威签名时给出鲜明的警告,肯定加速了HTTPS的采纳过程。

  然而,需要注意的是:对于不使用HTTPS的站点,你不会收到警告,这就是为什么总是建议扫描地址栏,确保你不会陷入一个简单的HTTP陷阱。

  关于 HTTPS 的常见误解

  虽然HTTPS在今天无处不在,而且起着至关重要的作用,但一些误解导致了一些人高估了他们的浏览隐私。

  一个普遍的误解是,HTTPS 的锁图标确保了一个值得信赖的站点,这种观念与事实大相径庭。 存在许多钓鱼网站,它们令人信服地模仿合法网站,它们的欺诈行为通常在地址栏显示的URL中可见。攻击者拥有这些URL,使得他们的证书能够被签名,但不是用户认为他们正在访问的实际站点。因此,总是密切关注URL,尤其是如果你怀疑钓鱼攻击。

  另一个需要记住的关键是,HTTPS 不加密元数据,这包括URL。因此,网络管理员、攻击者或ISP可以确定你正在访问的网站,或者在某些条件下甚至是特定页面。好消息是:加密的DNS的出现使窃听变得越来越困难。

  加密的DNS可能是隐私的未来

  用外行的话来说,加密的DNS加密了访问的页面的主机名。因为DNS是将实际的数值IP地址映射到站点地址的系统,这一发展使得攻击者的解密工作变得更加困难。

  Windows 用户可以启用加密的 DNS,从而提供更多一层的隐私保护,其作用与 HTTPS 本身类似--让那些爱管闲事的旁观者更加难以捉摸!但是,通过有意识、谨慎和协作,我们可以更有效地导航和保护我们的数字旅程。