我见过很多 VPN 提供商,他们似乎都同意一件事:要求用户安装他们自己的 Root CA。
我不明白他们为什么这样做。合法的服务器应该有一个由受信任的 CA 生成的证书,这意味着该证书可以一直验证到设备上安装的受信任的根证书。
这就像信任一个自称是总统的人,因为他为自己做担保。
为什么他们没有合法 CA 生成的证书?他们的网站确实如此。为什么他们的 VPN 服务器也不是这种情况?
考虑到这一点,使用 VPN 保护隐私是否有意义?如果提供商能够执行 MITM 攻击,那么您基本上是在给他们一切,包括您的钱。
所以这就引出了我的第二个问题:这个游戏是如何运作的,没有人说出来?
额外:坦率地说,我正在考虑将我自己的设备变成我认识的一些人的迷你 VPN 服务器。唯一的问题是在客户端验证我的服务器证书。是的,如果我正在编写客户端,我可以忽略这部分,但这对我朋友的设备很危险。因此,我想出的解决方案是使用我的 VPN 客户端部署我自己的根 CA 证书,该客户端将使用它来验证我的服务器,以便他们可以连接到我。问题是,如果我支付了一个受信任的 CA 来为我生成证书,我就不需要向我的客户发送我自己的根 CA 证书。
更新:我刚刚检查了我自己的 VPN 提供商,它安装了自己的根 CA。所以我直接从我的系统中删除了证书。你猜怎么着,VPN服务没有受到影响。所以只是一个提示,如果你有证书,请尝试卸载证书,至少这样你仍然可以防止它们充当 MITM。