使用VPN 时还需要HTTPS 吗？

在当今的数位时代，维护网络安全和隐私至关重要。随着网络威胁日益猖獗，HTTPS 和VPN 等工具已成为保护个人资讯的必要手段。然而，许多使用者都想知道，如果已经有安装VPN，是否还需要使用HTTPS。在本篇文章中，我们将深入探讨HTTPS 和VPN 之间的异同，确定两者在什么情况下是较佳的解决方案，以及为何同时使用他们可以提升自己的网络安全。

HTTPS 与VPN 的区别

HTTPS

HTTPS（超文字传输安全通讯协定）是一种用于确保网际网络通讯安全的协定。其会加密浏览器和网站之间交换的资料，确保登入凭证、信用卡详细资料和个资等敏感资讯保密，防止遭到窃取。

HTTPS 的主要功能：

• 加密：确保浏览器和网页伺服器之间传输资料的安全。
• 验证：验证使用者连线的网站是否合法。
• 资料完整性：确保传输的资料在传输过程中不会遭到篡改或损毁。

VPN

VPN（虚拟私人网络）在使用者装置和远端伺服器之间，建立安全的加密通道。此一过程会隐藏使用者的IP 位址，并加密网络连线，提供匿名性和安全防护，防止各种网络威胁。

VPN 的主要功能：

• IP 掩蔽：隐藏使用者的IP 位址，让上网行为更难被追踪。
• 加密：加密使用者装置与VPN 伺服器之间的所有网络流量。
• 位置欺骗：让使用者看起来像是在不同的地理位置进行浏览。

HTTPS 与VPN 的相似之处

HTTPS 和VPN 都是加强网络安全的重要工具，它们有几个相似之处：

• 加密： HTTPS 和VPN 都使用加密技术来保护资料。 HTTPS 加密浏览器和网页伺服器之间的资料，而VPN 则会加密使用者装置和VPN 伺服器之间的所有网络流量。
• 安全保障：两者都旨在保护使用者免遭资料外泄、骇客攻击和监控等网络威胁的侵扰。
• 隐私防护：透过加密资料，HTTPS 和VPN 都有助于维护使用者的隐私权，防止第三方拦截和读取敏感资讯。

HTTPS 与VPN：在什么情况下何者会是较佳的解决方案？

何时使用HTTPS

• 安全线上交易：在网站上输入敏感资讯时，如使用网银或网购时，HTTPS 可确保个人资料经过加密保护。
• 网站验证： HTTPS 可验证连线的是否为合法网站，保护您免遭网络钓鱼攻击。

何时使用VPN

• 公共Wi-Fi 安全： VPN 可在使用公共Wi-Fi 网络时提供安全连线，保护您免遭潜伏的骇客的攻击。
• 匿名性和隐私： VPN 可隐藏IP 位址，并对所有网络流量进行加密，因此是协助使用者保持匿名的绝佳工具。
• 绕过地理限制： VPN 透过隐藏IP 位址，让使用者看起来像是在不同地区上网，进而可以存取所在地区可能受到限制的内容。

VPN＋HTTPS

同时使用HTTPS 和VPN 可以提供强大的安全和隐私防护。 VPN 可加密所有网络流量并隐藏IP 位址，而HTTPS 则可以确保与特定网站交换的资料安全。此种组合可确保全面的防护，让使用者安全浏览网络：

• 双重加密：资料透过VPN 和HTTPS 加密，网络犯罪份子就很难拦截和破译使用者的资讯。
• 加强的隐私防护：即使VPN 伺服器遭到破坏，HTTPS 加密也能确保敏感资料的安全。
• 安全可靠的连线： VPN 可保护使用者的整个网际网络连线，而HTTPS 则可确保使用者是与合法网站进行通讯。

HTTPS 无法做到哪些事？

HTTPS 可解决重要的安全问题，但无法解决所有问题。让我们来看看在没有VPN 提供额外安全层的情况下，HTTPS 防护不起作用的主要案例。

仅靠HTTPS 无法确保首次连线的安全

有时，浏览器会先存取未加密版本的网站（HTTP），然后才会导向加密版本的网站（HTTPS）。这就为中间人攻击提供了机会。攻击者可以拦截未加密的连线，并将其重新导向恶意网站。一旦进入恶意网站，攻击者就可以利用网络钓鱼、植入恶意软体或其他攻击手段造成更大的损害。

这就是为什么除了HTTPS 之外，网站还需要实施一种名为HSTS（HTTP 强制安全传输技术）的特殊机制。

HSTS 会告知浏览器永远不要载入未加密的网站。这代表有使用HSTS，浏览器就只会载入HTTPS 版本的网站（如果适用）。听起来不错吧？在排名前100 万的网站中，只有11% 的网站有使用HSTS，更只有2.3% 的网站预先载入HSTS。

这表示有97% 的热门网站不会确保使用者首次请求的安全。 VPN 则会从一开始就加密所有流量，进而解决此问题。

HTTPS 无法一键加密

要使HTTPS 真正有效，所有相关方（浏览器、网站和使用者）都必须各司其职。

浏览器必须在使用者进入未加密网站时发出通知，或完全封锁使用者存取HTTP。使用者必须注意并理解HTTPS 和HTTP 网站之间的区别。最后，网站也必须正确实施TLS 加密。

要让HTTPS 发挥作用，就必须仰赖浏览器和网站来完成其工作。但并非所有浏览器都能确实通知使用者网站的状态，也并非所有网站都能确保伺服器和用户端之间的流量安全。而尽管HTTPS 可在通讯协定中用于加密DNS 请求，其也无法保证加密DNS 流量。

因此，使用者最终必须找到一款值得信赖的浏览器，并仰赖成千上万的网站正确实施和更新凭证。

使用VPN，您只需仰赖单一服务就能做到。当然，并非所有VPN 都是可靠的。就像不是所有的防毒软体或防火墙都值得信赖。 VPN 只是确保使用者与目的地之间的线上流量加密的最简单方法。

HTTPS 无法防范网络钓鱼

即使有正确实施HTTPS，也不代表网站本身就是安全的，这就是网际网络的危险所在。

大约有83% 的钓鱼网站现在都是HTTPS 网站。因此，如果您进入某个网站，看到有锁头图示，就觉得很安心，这就是骇客希望您感受到的：一种虚假的安全感。加密的网络钓鱼攻击本质仍然是网络钓鱼攻击。

现代VPN 不仅可为资料提供加密通道，还配备其他安全功能。如果使用者的私人资料出现在资料外泄中，就会发出通知，过滤并封锁使用者存取恶意网站，有些VPN 甚至可以扫描恶意软体并阻止下载。

无法保障网页以外的内容

网络威胁的新领域是行动应用程式。

浏览网页时，您至少可以检查连线是否加密。但大多数人对于行动应用程式如何传输自己的敏感资料却一无所知。这些资料可能有加密，也可能很容易就遭骇客拦截。

应用程式的开发者应当保护使用者资料，有些应用程式会采取额外步骤（如凭证钉选）来提供一层安全防护，有些则没有。使用者只能寄望开发者的自由心证，希望他们在开发应用程式时有参考以下iOS和Android指南。

应用程式就像黑盒子，使用者无法确切得知其是否尊人了最佳网络安全做法。而VPN 再一次成为解决方案，因为其可以加密所有网际网络流量。

Tags：

转载请注明出处：https://www.eoje.cn/wlbk/6099.html