http over vpn,为什么会话需要根证书?

http over vpn,为什么会话需要根证书?

我正在使用 vpn 隧道连接一些 URL,当我在浏览器中检查通过 vpn 的 URL 页面的证书链时,我发现除了叶证书之外,所有其他证书都被 vpn 替换了。

我想知道为什么会发生这种情况。我认为 vpn 只是数据包中的另一层,一旦传入数据包通过 vpn 接口的第一阶段,它就会被删除,并且内部数据包将由适当的接口驱动程序在 http 级别处理,就像以前没有 vpn 一样。

我哪里做错了?

答案1

这是由网络运营商您正在使用的特定 VPN。

VPN 只是一种无需实际进入远程网络即可访问远程网络的方式。它们不会改变你的流量,但远程网络本身当然可以。

例如,就像一些 ISP 将所有 DNS 请求重定向到同一服务器一样,任何网络都可以这样做,包括 VPN 提供商的网络。而且,就像学校网络经常执行“HTTPS 检查”以拦截 TLS 连接并用自己的证书替换证书一样,恶意 VPN 运营商当然也可以这样做。

(换句话说,VPN 仅保护您的传输流量,直到它到达 VPN 服务器 - 一旦它到达 VPN 服务器,它就再次完全清晰了。)


请记住,一些大型网站可能合法地同时拥有多个证书(甚至来自不同的 CA),并且来自不同位置的请求可能会到达不同的实例并以这种方式看到不同的证书。

相关内容