VPN根证书让你更容易受到窥探

商业虚拟专用网(VPN)服务供应商承诺在他们的营销安全和匿名性;但他们要求你更相信他们比其他任何一家公司在网络上。难道他们赢得了他们的客户的信任,当他们将自己定位于拦截所有的加密网络流量?

您的操作系统,网络浏览器和应用程序都绝对信任的一组证书颁发机构(CA)来验证正确的Web服务器回答了我们的连接尝试,并且我们安装软件的软件供应商放在一起后没有被修改。

我不会太远进入技术,尔虞我诈,戏剧和政治支配信任的网站和绝对信任我们的操作系统,浏览器和应用程序放置在他们的根证书存储的所有细节。我会保持它简短,说,你的计算机上安装证书的预装列表是通过一套严格的政策管理,由小区的保安严密监控。该列表由操作系统供应商(苹果,谷歌,微软,或者经常由Mozilla基金会在Linux中的情况和* BSD)维护。

你应该从来不需要安装任何额外的证书颁发机构到操作系统的根证书存储/钥匙串。这就是说,你应该下载并安装根证书文件,双击将其安装到Windows证书管理器,MacOS的钥匙扣,或类似的。

Your employer may have you install their own CA on their computers and devices to be able monitor their network, and intercept any email or message — even those sent over encrypted connections. Which is why you generally shouldn’t login to any website with a company issued device as they may intercept passwords and monitor what you do on these websites. If your employer owns the device, they can do what they damned please with it (within the limits of privacy laws — which are sadly lacking outside of Europe).

您的VPN服务供应商往往要求他们的用户安装自己的证书颁发机构的根证书(或他们只是为他们做它作为其安装过程的一部分)。安装在操作系统级别的任何CA隐含信任担保任何网站,电子邮件服务器,应用程序等已被签署。

一个VPN隧道服务所有流量您的网络进入您的VPN提供商控制的网络。换句话说,他们是完美的位置去执行攻击者的中间人攻击从您的网络流量剥离加密和密封它再次备份他们已经在其内容偷看之后。有没有技术限制从这样做限制他们一旦他们安装到您的操作系统的根证书存储。

安全专家会嗤之以鼻,在这篇文章中认为这将是显而易见的任何人,一个VPN服务可以针对自己的客户进行这种类型的攻击。然而,VPN服务提供商一般不使用他们的服务作为他们的营销活动的一部分解释了固有的安全风险。我一直没能找到任何关于这一问题认真书写,所以这将是困难的VPN客户找到资源,教育自己的风险。

违反客户的信任,以截获银行信息或忠于我们的营销承诺?就是那个问题。

顶部VPN服务供应商赚取每月每用户大约1,80-3,50美元。(值得注意的是,VPN服务,往往有再次发生的收入份额高达与他们的合作伙伴和分支机构20-40%的高营销成本。)一个VPN供应商将很可能失去所有的付费用户,如果他们被抓住窃取信用卡信息,登录凭据,或者其客户的浏览习惯,以第三方销售的信息。然而,谁说不是所有的VPN供应商做到这一点?

从任何国家安全机构的监视完善操作将略高于建立一个低成本高性能的VPN服务提供商更多的涉及,和一些有针对性的营销活动,以吸引所需的目标。

它也很容易为你的VPN进行针对特定用户更有针对性的攻击。他们已经有您的信用卡信息,电子邮件地址和其他帐户信息。当您登录到他们的服务,你可能会被触发为高价值目标,并可能有利于与您的网络流量干扰服务的放弃他们的常规服务。

一个VPN甚至可以完全自动的有针对性的测试,以确定您的操作系统是否信任他们具有高度的确定性证书。一个这样的测试可能需要等待Windows更新请求,拦截和辞职的,看到客户端是否断开连接或进行与更新检查。视窗通常会静静地记录一个安全警告的东西都掉在Windows更新,并稍后重试,而不通知用户。我敢肯定,确定灵魂能找到另一个这样的背景服务,甚至不触发系统上静默日志信息的任何位置。

VPN的为什么要使用这些有潜在危险的证书吗?

有些VPN协议需要使用证书。VPN服务提供商需要能够发出由证书颁发机构签署的经营服务每设备或每用户证书。其他协议可以选择使用证书,并且大多数商业VPN服务选择使用他们时,这是一个选项。当正确应用,基于证书的加密是几个数量级比用户名和弱口令更安全。

根证书文件是没有危险的,直到你将它们安装到您的操作系统和您的操作系统和程序开始信任他们。

该证书可以在没有风险的,只要可以作为它们的使用仅限于专门的软件及从来没有安装到操作系统中。不幸的是,VPN软件,VPN服务,推动他们的用户通常依赖于主机操作系统的VPN处理或者依靠其加密功能和密钥存储。

话虽这么说,你不应该从你的VPN供应商,因为他们经常会安装根证书到您的操作系统的安装软件。You can, however, find VPN client software — such as the OpenVPN client — that are happy to read the VPN’s root certificate from a file and doesn’t rely on it being installed. These programs are often difficult to configure will also be unsupported by the VPN provider’s support team.

那么,什么是另类?

你可以寻找一个VPN服务提供商支持IKEv2 EAP / PEAP用户名/密码验证,而不需要你安装根证书。看在为您的操作系统手册IKEv2的设置说明他们的知识基础/客户支持门户和扫描安装的任何证书的提及。

另请注意,某些VPN提供任意限制使用的IKEv2只有iOS版。(这表明他们更喜欢你安装他们的证书......。)

与EAP用户名/密码授权的IKEv2 / IPsec,以及最新版本的Android(需要第三方应用程序),的iOS,Linux和MacOS的,和Windows 10(需要工作围绕一些额外的工作的支持EAP认证错误)。