VPN-连接到 https 服务时是否存在中间人?

VPN-连接到 https 服务时是否存在中间人?

选择现成的 VPN 服务,访问我的 Gmail、Paypal... 帐户是否安全?

这些帐户是通过 https 访问的,但我不知道使用 VPN 时我的计算机和 https 服务器之间是否有一个或两个安全通道,即 [我] <-> [vpn 服务器] <-> [https 服务器]

如果是后一种情况,VPN 管理员能看到我和 https 服务器之间的未加密流量吗?

答案1

HTTPs 连接实际上只能在客户端和 https 服务器之间有效地完成。

如果 VPN 管理员能够解密流量,他们必须拥有一个有效的 SSL 证书,该证书声称来自服务器的域,并且私钥对该证书有效。只要浏览器中启用的根证书颁发机构是安全的,这种情况就不可能发生。为确保这一点,请保持浏览器为最新版本。

如果中间人没有采用上述方法,则您的浏览器会提示证书无效。

答案2

使用 HTTPs/TLS/SSL 时,站点流量在您的浏览器(或发起连接的应用程序)和向您提供页面的 Web 服务器之间进行加密。这意味着,如果任何中介尝试“监听”您的请求/响应,他们看到的只是加密流量。

无论您使用的是 VPN 还是标准互联网连接,此加密模型都是相同的。

答案3

唯一安全的选择是使用真正的 VPN。OpenVPN 是适用于所有操作系统的更好的 VPN 之一。过去几年,我一直使用 Road Warrior VPN 作为我的 VPN 提供商。我之所以说要使用像 OpenVPN 这样的真正的 VPN,是因为不可能有人对你进行中间人攻击。

答案4

就像其他人所说的那样,这通常是安全的。但为了完整性,我还是把这个放在这里,因为没有其他人提到这一点。

如果所讨论的 vpn 服务也需要代理,那么代理可能会使用受信任的 SSL 证书将自身插入此通信的中间。但这需要您的计算机信任代理的 CA(证书颁发机构)。这需要您在浏览器中安装 VPN 服务的代理的 CA 证书。这也可以使用 Windows 域中的组策略来完成。因此,假设您正在谈论第三方服务,因为设置它不需要在您的浏览器或操作系统的 CA 密钥环中信任 CA 的步骤,那么您的流量就是安全的。请记住,这样做有一些合法的理由,因为通常这样做是为了让入侵防御和防病毒/恶意软件引擎可以扫描数据流。

但在这种情况下的 https 请求将如下所示。

[me]<->[vpn server]<---->[proxy]<-->[website]   
                     |            |  
      proxy spoofed ssl cert   website ssl cert

因此,[我] 和 [代理] 之间的所有内容都使用由代理的受信任 CA 签名的伪造证书进行保护,而 [代理] 和网站之间的所有内容都使用原始网站的证书。因此,在这种情况下,有机会访问未加密的代理上的数据。

相关内容