VPN 和 HTTPS：有了 HTTPS，为什么还需要 VPN？

VPN 和 HTTPS 有什么区别？

在过去十年中，网络安全领域经历了革命性的发展。如今，绝大多数顶级网站都已支持超文本传输安全协议（HTTPS）。此协议是 HTTP 的加密版本，用于加密网络浏览器和网站之间的通信。访问网站时，如果网址以 “https://” 开头，则表明该网站已启用 HTTPS 加密。

虚拟专用网络（Virtual Private Network，简称 VPN）则是在您的设备和互联网之间建立一条安全的加密连接。简单来说，VPN 就像一条“隧道”，让您的网络流量在其中穿行，从而隐藏您的真实 IP 地址，保护您的网络隐私。

有了 HTTPS，为什么还需要 VPN？

尽管 VPN 和 HTTPS 都能加密数据，但 VPN 的加密程度更高：

• HTTPS 使用 TLS 加密来保护您的设备与所访问的网站之间的数据传输。因此，如果您在受保护的网站上输入密码，任何第三方都无法看到您和网站之间的数据传输。然而，HTTPS 加密仅存在于浏览器和服务器之间，且只有在启用的情况下才有效。
• VPN 则会对通过 VPN 连接的所有数据进行加密，无论您是否进行了相关设置。

实际上，认为 HTTPS 和 VPN 之间存在竞争的想法是错误的，仅凭 HTTPS 不足以保护网络浏览安全。VPN 和 HTTPS 并非竞争关系，它们可以协同工作，打造更安全的网络环境。

VPN 和 HTTPS 协同使用

许多人可能认为“我不需要 VPN，反正大多数网站都加密了”，但这就像说“我家前门不锁也没事，反正大多数家庭都不会被盗”一样。

小心谨慎并非多余——我们都会采取额外的防范措施来尽可能降低风险。即使是每天都要走过的街道，过马路时我们依然会左右环顾。所以，对待 HTTPS 也应该如此。

HTTPS 的 3 个局限

虽说 HTTPS 可以解决重要的安全问题，但它并非万能。我们来看看在没有 VPN 提供的额外安全保护的情况下，HTTPS 在哪些关键情况下会有局限。

1. 仅凭 HTTPS 无法保护您的首次连接

有时，您的浏览器会先访问未加密的网站（HTTP），然后才会被重新定向到加密版本（HTTPS），这就为中间人攻击创造了机会。攻击者可以在您的连接未加密时拦截它，并将其重定向到恶意网站。到达恶意网站后，攻击者可能会使用网络钓鱼、恶意软件注入或其他攻击手段造成更大的危害。

这就是为什么网站在采用 HTTPS 的同时，还需要实施一种名为 HTTP 严格传输安全（HTTP Strict Transport Security，简称 HSTS）的特殊机制。

HSTS 的作用

HSTS 会通知您的浏览器永远不要加载未加密的网站。这意味着，有了 HSTS，您的浏览器只会加载 HTTPS 版本的网站。这听起很棒，但问题在于前 100 万个网站中仅 11% 使用了 HSTS——而且只有 2.3% 的网站会预加载它。

这意味着，在前 100 万个网站，有 97.7% 的网站无法保护您的首次请求。若有了 VPN，则能从一开始就加密您的所有流量，从而有效地解决这个问题。

2. HTTPS 无法一键加密

要使 HTTPS 真正发挥作用，所有相关方（浏览器、网站和用户）都需要共同努力：

• 浏览器：当用户访问未加密网站时，浏览器必须发出警告，甚至阻止用户访问 HTTP 网站。
• 用户：用户自身必须注意并了解 HTTPS 和 HTTP 网站的区别。
• 网站：网站必须正确实施 TLS 加密。

HTTPS 的有效运行依赖于浏览器和网站的配合，但并非所有浏览器都能正确提醒用户网站状态，也并非所有网站都能完全保护服务器和客户端之间的流量。此外，HTTPS 也无法保证 DNS 流量的加密，即便它可以在协议中用于加密 DNS 请求。

因此，最终您必须找到一款值得信赖的浏览器，并寄希望于成千上万个网站都能正确实施和更新证书。但如果使用 VPN，您只需要依赖一项服务即可，这是确保您与目标网站之间流量加密的最简单方法。当然，并非所有 VPN、杀毒软件或防火墙都绝对可靠。我们并非要反对您使用这些工具，只是想说明无论是数字工具还是物理工具，都需要在使用前做好充分的了解和准备。

3. HTTPS 无法让您免受钓鱼攻击

即使 HTTPS 实施得当，也无法确保网站本身绝对安全。虽然听起来很遗憾，但这就是互联网的现状。

大约 83% 的网络钓鱼网站都使用 HTTPS。所以，如果您访问一个网站，看到一个挂锁就觉得安全，那您可能中了黑客的圈套——他们正想要给您营造一种虚假的安全感，而加密的网络钓鱼攻击本质上仍然是网络钓鱼。

网络之外

此外，网络威胁如今已扩展到新的领域——移动应用程序。

浏览网页时，您至少可以检查连接是否加密。但大多数人对移动应用程序如何传输敏感数据却一无所知。这些数据有可能经过加密，但也有可能被黑客拦截。

应用程序创建者有保护用户数据的责任，但他们可以选择规避。一些应用程序会采取额外的措施（例如证书固定）来加强保护，但另一些则不会。iOS 和 Android 的开发者指南让开发者有权利选择不采用这些措施——而他们有时确实会这么做。

因此，我们只能盲目信任。我们的应用程序就像一个个“黑匣子”，您无法确定它们是否遵循了最佳网络安全实践。基于以上种种原因，VPN 是一种理想的解决方案，因为它可以加密您的所有互联网流量。

VPN 是主流的安全解决方案

值得庆幸的是，现代 VPN 不仅能加密您的数据，还提供其他安全功能。例如，如果用户的个人数据不幸遭遇泄漏，VPN 可以及时通知用户，还能过滤和阻止用户访问恶意网站；一些 VPN 甚至可以扫描并阻止恶意软件下载。

当然，VPN 行业仍有改进的空间，而我们也一直在为此努力。NordVPN 定期接受独立审计，致力于提供最优质的服务。我们也是 VPN 信任计划的创始成员之一，该组织旨在为所有 VPN 服务建立行业标准，提升整体质量。

互联网需要商业 VPN。这些服务让每个消费者都能轻松提升在线安全。只需一键，任何人都可以获得额外的安全和隐私保护——无论他们是否具备技术知识。

同时，互联网的安全性也不会一蹴而就。公共 Wi-Fi 不会突然变得安全可靠，应用程序不会强制加密所有数据，人们也不会突然开始关注提高安全性的多种方法。因此，我们坚信建议人们不使用 VPN 只会让数字世界变得更不安全。

对于普通用户而言，同时使用 HTTPS 和 VPN 仍然抵御网络威胁最简单有效的方法。