Can a VPN Provider MitM my SSL traffic without me noticing?
Riguardo a ciò in particolare, a meno che non abbiano la chiave privata del sito web, allora puoi notare. Se ti fidi del certificato del provider VPN nei tuoi browser, devi cercare attivamente quale certificato viene utilizzato da ogni sito, naturalmente, ma puoi notare se presti attenzione. Estensioni del browser come Certificate Patrol possono aiutarti se visiti i siti sia con che senza la tua VPN; notificheranno le modifiche del certificato.
Shouldn't gmail know my real IP if the traffic just gets tunneled through the provider?
Forse; dipende. L'indirizzo IP di origine è quello del provider VPN; tuttavia, se Gmail o un altro sito Web invia al browser Javascript o script di un'altra lingua che il browser accetta e esegue che raccoglie il tuo IP (o altre informazioni ancora più private), quindi lo invia all'organizzazione o a una terza parte! / p>
Se quella trasmissione è su TLS ininterrotto, le tue informazioni sono state fornite solo al sito a cui è stato inviato e tutti coloro che condividono tale sito con volontà o riluttanza.
Se quella trasmissione non è stata crittografata, tutti tra te e loro possono vederlo.
Se quella trasmissione è stata crittografata con crittografia rotta, è molto complessa, ma si trova tra i due estremi sopra.
I thought about invalid certificates if the ssl gets broken, but how do next gen firewalls like palo alto claim they can do deep packet inspection on ssl traffic without the users noticing?
Lo fanno perché hanno una copia della stessa chiave privata per il certificato che il server web stesso usa! Proprio come il server web decrittografa il traffico TLS con la sua chiave privata, l'appliance decrittografa la sua copia del traffico con la chiave privata del server web.
Why can't the VPN provider just use a similar box to decrypt it?
La società VPN che possiede una copia della chiave privata TLS del sito finale sarebbe una circostanza eccezionale che coinvolge i principali attori degli stati nazionali, attività criminali eccezionali e / o il sanguinante exploit di zero day critici come Heartbleed.
I am a bit curious about how much data a VPN provider could potentially collect about me.
Almeno quanto pensi di permetterti di fare.
Inviate le vostre richieste DNS tramite VPN? Loro possono vederlo. In caso contrario, il tuo ISP può vederlo.
Consenti il traffico HTTP? Possono vedere - e alterare in transito - quello. Attenzione, include il traffico di terze parti.
Possono sicuramente vedere quali indirizzi IP hai intenzione e i modelli di dati che sposti. Possono quindi confrontarsi con un'analisi statisticamente significativa del traffico di molte persone, nonché test deliberati e informazioni pubbliche che raccolgono.
- vale a dire. Si inviano alcuni troppo grandi per essere semplici pacchetti di richiesta di pagina per link ? Stai inviando qualcosa che hai digitato sulla rete di siti Stackexchange; una semplice correlazione di quelle grandi trasmissioni con nuove domande e risposte rivelerà molto rapidamente il tuo nome utente stackexchange.
Consenti algoritmi di crittografia danneggiati? Potrebbero o potrebbero non essere in grado di vederlo.
Certamente non hai informazioni dettagliate su ciò che registrano, indipendentemente da ciò che rivendicano (o sono obbligati a rivendicare in base ai governi che controllano tutti i server coinvolti nel tuo traffico e della gestione di tale azienda e delle persone che vi lavorano - Se il tuo endpoint VPN, o la gestione aziendale, o gli amministratori di server in subappalto moltiplicati sono / sono in RepressiveRegimeX, RepressiveRegimeX ha un grande potere su di esso.
Prova, almeno per un po ', Firefox con il plugin di Matrix (per mostrarti le mappature di quali richieste di terzi vengono fatte dai siti che visiti) e con HTTPS Everywhere per limitare l'uso di HTTP.
Anche in Firefox, vai su about: config, cerca su tls per vedere le versioni TLS permesse, e cerca su ssl3 per vedere quali pacchetti di crittografia sono abilitati.
Su ogni browser che utilizzi, vai su SSLLabs e fai un test del client per vedere cosa potrebbe essere debole che quel browser consente su quella macchina ; rimuovi quelli.
Come opzione avanzata, utilizza wireshark o un altro strumento per vedere cosa sta effettivamente succedendo nella tua VPN e cosa no. È possibile - o meno - essere in grado di vedere una connessione TLS effettiva, in modo da poter vedere la suite di cifratura o la scelta dell'algoritmo negoziata.
- Presta particolare attenzione a dove stanno andando le tue richieste DNS, la porta UDP 53. Tramite il tuo provider VPN, o no?