如何打造一个更安全的互联网

下一篇文章

LibreRouter:让农村用上物美价廉的 Mesh 网络

编者按:作者是 Alphabet 旗下 Jigsaw 首席产品经理。

从审查到跟踪,从监控到网络战,当下所有关于网络威胁的讨论,我们几乎都着重于症状,而轻视长期潜伏的病灶。我们需要极客起来,重新检视塑造互联网的各种协议和标准,才能让全世界人民拥有没有压迫和威胁的互联网生活,

互联网在设计之初其实并没有考虑用户隐私问题,这也是互联网审查得以实施的原因。面对审查,互联网可以说是门户大开。所以,只有从根本上升级互联网的技术标准,才能带来真正的隐私与安全。

从监管机构到用户,每个人都需要更多隐私保护,而提升互联网基础标准就是其中一个基本方式。互联网的各种协议分别定义了互联网的使用者、内容和方位。简而言之,第一步就是让这些协议更加注重隐私。幸运的是,迈出这一步不会产生争议,过程也不复杂。

隐私保护让选择性审查变得更加困难,因为审查无从了解用户使用网络过程中的细节,也就无从下手。改进标准并不需要高级科技,只要沿着设计原型、讨论、建立共识、部署这几步进行就可以了。IETF 互联网工程任务小组(Internet Engineering Task Force)就是负责互联网标准的开发和推动的主要组织之一。

从 2015 年开始,IETF 的技术专家一直在推动加密 DNS 的标准。DNS 域名系统是构成互联网基础的一个关键要素,也被称为 “互联网地址簿”,但它并非为加密而生。用户每次访问网站,计算机都会先查询远端的 DNS,这个过程是明文的。审查和监控就可以利用这个漏洞获取用户访问过哪些网站。

推动加密 DNS 标准只是冰山一角。全球最大的 CDN 网络供应商 CloudFlare,最近宣布它的网络开始支持 ESNI(Encrypted Server Name Indication)。托管在 CDN 的网站,他们的 HTTPS 证书一般是通过 SNI 部署的,而默认明文的 SNI 却可以让 ISP 或任何网络中间人知道你访问了哪个网站。只有升级到 ESNI 才可以堵住这个漏洞。

最后一个例子,另一个互联网标准组织 W3C 发布了 Network Error Logging(网络错误日志)的工作草案。这有助于解决网络屏蔽带来的最大的挑战:找出干扰源头。无法访问网站的原因有很多,不一定是被墙了,有可能只是机房或者自家网络出现故障。在现在的情况下,网站站长永远不知道有多少人无法访问他们的网站,因为没有建立任何连接。网络错误日志会把用户的错误记录报告给未被屏蔽的中立第三方。这样站长就知道自己的网站是因为什么原因无法让用户访问了。

总而言之,我们今天为互联网定义的标准,将决定未来下一代人使用的工具。如果我们这些坚持用户隐私和言论自由价值观的人无法促成一个互联网的标准,那么不同意我们价值观的人就会取代我们,全球化开放性的互联网将不可避免地遭到破坏。

互联网不是生来安全,但保护个人隐私必将引导我们勇敢面对不断进化的互联网挑战。迎接挑战,就从提高互联网安全标准开始。