VPN – 中间人在连接到https服务时?

select现成的VPN服务,访问我的Gmail,PayPal,…帐户是否安全

帐户通过https访问,但我不知道是否与VPN有一个我的电脑和https服务器之间的安全通道,或两个,即[我] < – > [VPN服务器] < – > [HTTPS服务器]

如果是后一种情况,VPNpipe理员能否在我和https服务器之间看到未encryption的stream量?

    HTTPs连接只能在客户端和https服务器之间真正有效地完成。

    如果VPNpipe理员能够解密stream量,则他们必须拥有一个有效的SSL证书,声称来自服务器的域,并具有对证书有效的私钥。 只要在浏览器中启用的根证书颁发机构是安全的,就不应该这样做。 为了确保这一点,请保持您的浏览器是最新的。

    如果一个中间人想采用后面提到的方法,那么你的浏览器就会抱怨无效的证书。

    在使用HTTPs / TLS / SSL时,站点stream量在浏览器(或启动连接的应用程序)和为您提供页面的Web服务器之间encryption。 这意味着,如果有任何中介试图“聆听”您的请求/响应,他们将看到的只是encryptionstream量。

    无论您使用的是VPN还是标准的Internet连接,此encryption模式都是相同的。

    唯一的安全select是使用真实的VPN。 在每个操作系统上运行的更好的一个是OpenVPN。 在过去的几年中,我一直使用Road Warrior VPN作为VPN提供商。 我之所以说要使用像OpenVPN这样的真正的VPN,是因为不可能让某人对你进行中间人攻击(Man-in-the-middle)。

    就像其他人所说的那样,这通常是安全的。 但是我只是为了完整性而抛出这个问题,因为没有人提到这一点。

    如果有问题的vpn服务也需要代理服务器,那么代理服务器可能会使用一个可信的ssl证书在自己的通信过程中插入自己。 但是这需要您的计算机信任代理的CA(证书颁发机构)。 这将要求您将VPN服务的代理的CA证书安装到浏览器中。 这也可以使用Windows域中的组策略来完成。 因此,假设您正在讨论第三方服务,因为设置它并不涉及在浏览器或操作系统的CA密钥环中信任CA的步骤,那么您的stream量是安全的。 请记住,这样做有一些合法的原因,因为通常这样做是为了使数据stream能够被入侵防护和防病毒/恶意软件引擎扫描。

    但在这种情况下的https请求看起来像这样。

    [me]<->[vpn server]<---->[proxy]<-->[website] | | proxy spoofed ssl cert website ssl cert 

    因此,[代理]和[代理]之间的所有内容都使用由代理的可信CA签名的欺骗性证书进行保护,代理和网站之间的所有内容都使用原始网站的证书。 所以在这种情况下有一个oppertunity来访问未encryption的代理上的数据。