Выбирая готовую услугу VPN, можно ли получить доступ к моим учетным записям Gmail, Paypal, ...?
Доступ к учетным записям осуществляется через https, но я не знаю, есть ли с VPN один или два защищенных канала между моим компьютером и https-сервером, то есть [я] <-> [vpn server] <-> [https server ]
Если это последний случай, может ли администратор VPN видеть незашифрованный трафик между мной и https-сервером?
HTTP-соединения действительно могут выполняться только между клиентом и https-сервером.
Если бы администратор VPN смог расшифровать трафик, он должен был бы иметь действующий сертификат SSL, якобы принадлежащий домену сервера, с закрытым ключом, действительным для сертификата. Это невозможно, если корневые центры сертификации, включенные в вашем браузере, безопасны. Чтобы быть уверенным в этом, регулярно обновляйте браузер.
Если бы человек посередине использовал последний метод, о котором вы упомянули, без этого, ваш браузер пожаловался бы на недействительный сертификат.
При использовании HTTP / TLS / SSL трафик сайта между вашим браузером (или приложением, инициирующим соединение) и веб-сервером, который обслуживает вам страницы, шифруется. Это означает, что если какой-либо посредник попытается «прослушать» ваши запросы / ответы, все, что они увидят, - это зашифрованный трафик.
Эта модель шифрования одинакова независимо от того, используете ли вы VPN или стандартное подключение к Интернету.
Единственный безопасный вариант - использовать настоящий VPN. Один из лучших, который работает во всех операционных системах, - это OpenVPN. Я использую Road Warrior VPN в качестве своего VPN-провайдера последние пару лет. Причина, по которой я рекомендую использовать настоящую VPN, такую как OpenVPN, заключается в том, что невозможно заставить кого-то атаковать вас по типу «Человек посередине».
Как говорили другие, это обычно безопасно. Но я выброшу это только для полноты, поскольку никто об этом не упоминал.
Если рассматриваемая служба vpn также требует прокси-сервера, возможно, прокси-сервер использует доверенный сертификат ssl, чтобы вставить себя в середину этого взаимодействия. Но для этого потребуется, чтобы ваш компьютер доверял CA прокси (центру сертификации). Для этого вам потребуется установить сертификат CA прокси-сервера VPN в свой браузер. Это также можно сделать с помощью групповой политики в домене Windows. Итак, если вы говорите о сторонней службе, поскольку ее настройка не включает в себя шага по доверию CA ни в вашем браузере, ни в связке ключей CA вашей ОС, тогда ваш трафик безопасен. Имейте в виду, что для этого есть несколько законных причин, поскольку обычно это делается для того, чтобы поток данных можно было сканировать с помощью средств предотвращения вторжений и антивирусных / вредоносных программ.
Но запрос https в такой ситуации будет выглядеть так.
[me]<->[vpn server]<---->[proxy]<-->[website]
| |
proxy spoofed ssl cert website ssl cert
Таким образом, все между [мной] и [прокси] защищено с помощью поддельного сертификата, подписанного доверенным центром сертификации прокси, а все между [прокси] и веб-сайтом использует сертификат исходного веб-сайта. Таким образом, в этом случае есть возможность получить доступ к данным на прокси-сервере в незашифрованном виде.