使用 VPN 時還需要 HTTPS 嗎？

HTTPS

HTTPS（超文字傳輸安全通訊協定）是一種用於確保網際網路通訊安全的協定。其會加密瀏覽器和網站之間交換的資料，確保登入憑證、信用卡詳細資料和個資等敏感資訊保密，防止遭到竊取。

HTTPS 的主要功能：

• 加密：確保瀏覽器和網頁伺服器之間傳輸資料的安全。
• 驗證：驗證使用者連線的網站是否合法。
• 資料完整性：確保傳輸的資料在傳輸過程中不會遭到篡改或損毀。

VPN

VPN（虛擬私人網路）在使用者裝置和遠端伺服器之間，建立安全的加密通道。此一過程會隱藏使用者的 IP 位址，並加密網路連線，提供匿名性和安全防護，防止各種網路威脅。

VPN 的主要功能：

• IP 掩蔽：隱藏使用者的 IP 位址，讓上網行為更難被追蹤。
• 加密：加密使用者裝置與 VPN 伺服器之間的所有網路流量。
• 位置欺騙：讓使用者看起來像是在不同的地理位置進行瀏覽。

HTTPS 和 VPN 都是加強網路安全的重要工具，它們有幾個相似之處：

• 加密：HTTPS 和 VPN 都使用加密技術來保護資料。HTTPS 加密瀏覽器和網頁伺服器之間的資料，而 VPN 則會加密使用者裝置和 VPN 伺服器之間的所有網路流量。
• 安全保障：兩者都旨在保護使用者免遭資料外洩、駭客攻擊和監控等網路威脅的侵擾。
• 隱私防護：透過加密資料，HTTPS 和 VPN 都有助於維護使用者的隱私權，防止第三方攔截和讀取敏感資訊。

何時使用 HTTPS

• 安全線上交易：在網站���輸入敏感資訊時，如使用網銀或網購時，HTTPS 可確保個人資料經過加密保護。
• 網站驗證：HTTPS 可驗證連線的是否為合法網站，保護您免遭網路釣魚攻擊。

何時使用 VPN

• 公共 Wi-Fi 安全：VPN 可在使用公共 Wi-Fi 網路時提供安全連線，保護您免遭潛伏的駭客的攻擊。
• 匿名性和隱私：VPN 可隱藏 IP 位址，並對所有網路流量進行加密，因此是協助使用者保持匿名的絕佳工具。
• 繞過地理限制：VPN 透過隱藏 IP 位址，讓使用者看起來像是在不同地區上網，進而可以存取所在地區可能受到限制的內容。

同時使用 HTTPS 和 VPN 可以提供強大的安全和隱私防護。VPN 可加密所有網路流量並隱藏 IP 位址，而 HTTPS 則可以確保與特定網站交換的資料安全。此種組合可確保全面的防護，讓使用者安全瀏覽網路：

• 雙重加密：資料透過 VPN 和 HTTPS 加密，網路犯罪份子就很難攔截和破譯使用者的資訊。
• 加強的隱私防護：即使 VPN 伺服器遭到破壞，HTTPS 加密也能確保敏感資料的安全。
• 安全可靠的連線：VPN 可保護使用者的整個網際網路連線，而 HTTPS 則可確保使用者是與合法網站進行通訊。

HTTPS 可解決重要的安全問題，但無法解決所有問題。讓我們來看看在沒有 VPN 提供額外安全層的情況下，HTTPS 防護不起作用的主要案例。

僅靠 HTTPS 無法確保首次連線的安全

有時，瀏覽器會先存取未加密版本的網站（HTTP），然後才會導向加密版本的網站（HTTPS）。這就為中間人攻擊提供了機會。攻擊者可以攔截未加密的連線，並將其重新導向惡意網站。一旦進入惡意網站，攻擊者就可以利用網路釣魚、植入惡意軟體或其他攻擊手段造成更大的損害。

這就是為什麼除了 HTTPS 之外，網站還需要實施一種名為 HSTS（HTTP 強制安全傳輸技術）的特殊機制。

HSTS 會告知瀏覽器永遠不要載入未加密的網站。這代表有使用 HSTS，瀏覽器就只會載入 HTTPS 版本的網站（如果適用）。聽起來不錯吧？在排名前 100 萬的網站中，只有 11% 的網站有使用 HSTS，更只有 2.3% 的網站預先載入 HSTS。

這表示有 97% 的熱門網站不會確保使用者首次請求的安全。VPN 則會從一開始就加密所有流量，進而解決此問題。

HTTPS 無法一鍵加密

要使 HTTPS 真正有效，所有相關方（瀏覽器、網站和使用者）都必須各司其職。

瀏覽器必須在使用者進入未加密網站時發出通知，或完全封鎖使用者存取 HTTP。使用者必須注意並理解 HTTPS 和 HTTP 網站之間的區別。最後，網站也必須正確實施 TLS 加密。

要讓 HTTPS 發揮作用，就必須仰賴瀏覽器和網站來完成其工作。但並非所有瀏覽器都能確實通知使用者網站的狀態，也並非所有網站都能確保伺服器和用戶端之間的流量安全。而儘管 HTTPS 可在通訊協定中用於加密 DNS 請求，其也無法保證加密 DNS 流量。

因此，使用者最終必須找到一款值得信賴的瀏覽器，並仰賴成千上萬的網站正確實施和更新憑證。

使用 VPN，您只需仰賴單一服務就能做到。當然，並非所有 VPN 都是可靠的。就像不是所有的防毒軟體或防火牆都值得信賴。VPN 只是確保使用者與目的地之間的線上流量加密的最簡單方法。

HTTPS 無法防範網路釣魚

即使有正確實施 HTTPS，也不代表網站本身就是安全的，這就是網際網路的危險所在。

大約有 83% 的釣魚網站現在都是 HTTPS 網站。因此，如果您進入某個網站，看到有鎖頭圖示，就覺得很安心，這就是駭客希望您感受到的：一種虛假的安全感。加密的網路釣魚攻擊本質仍然是網路釣魚攻擊。

現代 VPN 不僅可為資料提供加密通道，還配備其他安全功能。如果使用者的私人資料出現在資料外洩中，就會發出通知，過濾並封鎖使用者存取惡意網站，有些 VPN 甚至可以掃描惡意軟體並阻止下載。

無法保障網頁以外的內容

網路威脅的新領域是行動應用程式。

瀏覽網頁時，您至少可以檢查連線是否加密。但大多數人對於行動應用程式如何傳輸自己的敏感資料卻一無所知。這些資料可能有加密，也可能很容易就遭駭客攔截。

應用程式的開發者應當保護使用者資料，有些應用程式會採取額外步驟（如憑證釘選）來提供一層安全防護，有些則沒有。使用者只能寄望開發者的自由心證，希望他們在開發應用程式時有參考以下 iOS 和 Android 指南。

應用程式就像黑盒子，使用者無法確切得知其是否尊人了最佳網路安全做法。而 VPN 再一次成為解決方案，因為其可以加密所有網際網路流量。

VPN 是主流安全解決方案

毫無疑問，VPN 行業需要變革，我們也正在為此而努力。NordVPN 定期接受獨立稽核，並恪遵無日誌政策，因為我們的目標是提供高品質服務。我們還是 VPN 信託計劃（VPN Trust Initiative）的創始成員，該組織旨在為所有 VPN 服務建立業界品質標準。

現今的網際網路需要商用 VPN。這項服務讓每個消費者都能輕鬆提升自己的安全保障。即便沒有任何技術知識，任何人都可以一鍵啟動線上安全和隱私防護。

網際網路不會在一夜之間就發生變化，Wi-Fi 熱點不會突然就變安全，應用程式也不會強制加密，人們也不會馬上就開始關注他們可以改善安全性的多種方法。我們堅信，使用 VPN 是有效提升數位環境安全的首選方法，也是普通使用者保護自己免於網路威脅的最簡單方法。