Cualquier proceso que se ejecute con nuestros privilegios, nuestro superior puede, en teoría, instalar un nuevo certificado raíz. Pero eso no significa que lo hará. Si toma, por ejemplo, el soporte de VPN incluido en Windows (PPTP, L2TP / IPSec), no hay forma de que el servidor envíe un nuevo certificado raíz a su sistema. Lo mismo ocurre con el cliente original de OpenVPN.
Pero, si su proveedor de VPN le pide que instale un software específico para usar su VPN, es posible que este software ya instale una nueva CA raíz cuando instale el software o que lo haga más adelante cuando se lo indique el Servidor VPN. O podría hacer cosas aún peores.
En este caso, el software VPN no es diferente del resto de software que descarga e instala en su sistema: puede causar mucho daño (agregar una nueva CA raíz, monitorearlo a través de su cámara web, capturar todas las pulsaciones de teclas ... .) y debe instalarlo solo si realmente confía en el proveedor y en la ruta de distribución del software.