私は多くのVPNプロバイダーを見てきましたが、それらはすべて1つのことに同意しているようです。ユーザーに独自のルートCAをインストールするよう依頼することです。
彼らがそれをする理由がわかりません。正当なサーバーには、信頼できるCAによって生成された証明書が必要です。つまり、証明書は、デバイスにインストールされている信頼できるルート証明書まで検証可能です。
これは、彼が自分を保証するので彼が大統領であると言う誰かを信頼するようなものです。
正当なCAによって生成された証明書がないのはなぜですか?彼らのWebサイトは確かにあります。なぜこれがVPNサーバーにも当てはまらないのですか?
それを念頭に置いて、プライバシーにVPNを使用することは理にかなっていますか?プロバイダーがMITM攻撃を実行できる場合、基本的にあなたのお金を含むすべてを提供しています。
だから、これは私の2番目の質問につながります:このゲームはどのように機能し、誰もそれを呼び出していませんか?
追加:正直なところ、自分のデバイスを、知っている一部の人のためのミニVPNサーバーに変えることを考えていました。唯一の問題は、クライアント側でサーバーの証明書を確認することです。はい、クライアントを作成している場合、この部分は無視できますが、それは友達のデバイスにとって危険です。したがって、私が思いついた解決策は、自分のルートCA証明書をVPNクライアントと一緒に展開することでした。VPNクライアントはそれを使用してサーバーを確認し、接続できるようにします。問題は、信頼できるCAに支払って証明書を生成した場合、自分のルートCA証明書をクライアントに同梱する必要がないことです。
更新:自分のVPNプロバイダーを確認したところ、独自のルートCAがインストールされました。そこで、私はすぐにシステムから証明書を削除しました。 VPNサービスは影響を受けなかったと思います。したがって、ヒントがあれば、証明書がある場合はそれをアンインストールしてみてください。少なくともその方法で、証明書がMITMとして機能するのを防ぐことができます。
これにより、VPNサーバーは暗号化されたトラフィックを復号化できます。企業VPNの場合、これは監視が必要なポリシーに準拠するために一般的です。また、無料のVPNで広告を挿入する目的で使用することもできます。彼らが正当なCAに署名できない理由は、GoogleやFacebook、Stack Exchangeを含むeveryサイトに有効な証明書が必要だからです。 CAはvpncompany.example.com
に有効な証明書google.com
。
それを念頭に置いて、プライバシーにVPNを使用することは理にかなっていますか?
スクリプトキディがパスワードを盗む危険を冒すことなくオープンWi-Fiを安全に使用できるようにすることが目的でない限り、いいえ、それは意味がありません。仮想プライベートネットワークの「プライベート」とは、IANAが予約したプライベートIPアドレス(10.0.0.0/8など)を指します。notプライバシーまたはあらゆる種類の権利。
このゲームはどのように機能していて、誰もそれを呼びかけていませんか?
しかし、人々はそれを呼びます! VPNはプライバシーや匿名性には役に立たないだと多くの人が言っていますが、誰もがVPNを購入することを勧めるVPNマーケティングスキームに参加する大勢の人々からは常に無視されています。実際には、VPNの有効な使用法は3つしかなく、最初の使用法は最大のものです。
内部ネットワーキング(会社のネットワークに接続するための企業VPNなど)。
安全でないパブリックネットワーク(空港など)を使用する場合は、データを保護してください。
トレントは比較的安全です(貧弱でシードボックスを購入できない人向け)。
したがって、私が思いついた解決策は、自分のルートCA証明書をVPNクライアントと一緒に展開することでした。VPNクライアントはそれを使用してサーバーを確認し、接続できるようにします。
番号!ルート証明書を作成しないでください!それらは他のすべての証明書を上書きすることができます。作成するのは、OpenVPN(または使用しているプロトコル)での認証用の単一の自己署名証明書です。そのような状況では、ルート証明書はまったく必要ありません。