DNS 劫持+权威机构颁发的伪造证书,可以毁掉整个互联网,这不是危言耸听,而是正在发生。
对自己最大的伤害,往往来自最信任的人。比如你女朋友欺骗你的感情,和别人上床,回来你发现她衣服湿了,她还告诉你是你梦游时把她弄湿的,你绝对信任她,以为自己在梦中真的那么厉害。
这个事例映射到互联网,就是你以为你访问的那个加密的网站是绝对安全的,其实你被欺骗了,你账户里的钱,你邮件里和合作伙伴谈论的商业机密,都被窃听了。
这样的事似乎离我们很遥远,其实不然,最近的发生的一次互联网事件,暗示了互联网最危险的漏洞,你的隐私,可能被他人看得一清二楚。
这个漏洞有多严重?
在说漏洞的具体情况之前,我们先来了解一下这个漏洞带来的危害,相信这是我们最迫切关心的。你这两天并没有在很多媒体看到这个漏洞的报道,是因为它本质上不是一个漏洞,而可能是有组织的人为「窃听」,我们无意去猜测背后是否有不可告人的阴谋或其它,但这个事件,预示着一个极其危险的互联网漏洞。
- 可能导致你的帐号密码被盗
- 可能导致你的机密邮件被第三方查看
- 可能导致你蒙受金钱损失
- 甚至可能导致你被查水表
- 先简单了解几个词汇
要了解这个漏洞,并做好防范,我们需要先了解一些基本概念。
浏览器
你用来浏览网页的工具就是浏览器,一般来说,你在浏览器里浏览网页,地址栏是以 http 开头的。
HTTPS
HTTP 方式的浏览是不安全的、容易被窃听的,大部分网站都通过这样的方式让我们查看,但一些需要处理个人隐私信息的网站,都会采用 HTTPS 的方式。HTTPS 的主要思想是在不安全的网络上创建一安全信道,对窃听提供合理的防护。
可能吧使用的就是 HTTPS 协议。
证书
要让 HTTPS 方式的访问成为可行,就需要网站有证书。证书这个概念比较复杂,我们用最简单的方式来理解。证书可以认为是一个网站的护照,当我们通过浏览器打开一个经过加密的网页时,浏览器会去查看网站的护照是否属于网站本人,如果属于,则认为这次浏览是安全的。和护照一样,证书是私有物品,需要谨慎保管,丢了之后要重新办理。
权威机构
那么问题来了,如果有网站伪造「护照」怎么办?这时我们很容易想到,只有政府才能颁发护照,我们信任颁发护照的政府,所以信任持有本人护照的人是真实的。网站也是如此,证书不是随便谁都可以颁发,只有权威机构颁发的证书,浏览器才会信任,才会认为该次浏览是安全的。
每个浏览器在安装时,都会自带一个可信任权威机构的名单。
