¿Las VPN pueden descifrar el tráfico SSL originado por mi uso de servicios como Gmail, Dropbox y Skype, Google Talk y sitios web habilitados para HTTPS? Lo pregunto porque siempre apago estos y otros servicios antes de activar una VPN y me gustaría saber si es necesario.
Las VPN no pueden descifrar el tráfico SSL / TLS entre el usuario y los sitios a los que se accede a través de la VPN. Pero como la VPN tiene acceso al contenido cifrado SSL / TLS, es una posición para montar un ataque de hombre en el medio. La mayoría de los ataques de intermediarios se pueden detectar revisando cuidadosamente los certificados de los sitios, pero de vez en cuando hay un nuevo ataque que ni siquiera el usuario más atento podrá detectar. Por ejemplo, la autoridad certificadora Trustwave (al menos) una vez emitió un certificado a una compañía que le permitió realizar ataques indetectables de hombre en medio en cualquier comunicación SSL que pase por esa compañía ( enlace ).
Por supuesto, si no usa una VPN, está sujeto a un ataque MITM de su ISP y, según la topografía de red de su país, su gobierno. Por lo tanto, debe decidir de quién le preocupa más: el proveedor de VPN o su ISP / gobierno.
Si tiene datos muy confidenciales de los que está preocupado, lo mejor sería no colocarlos en Internet (o en cualquier máquina conectada a Internet) incluso en forma cifrada.
Una VPN no es más hostil que Internet "en general". La VPN es una "red privada": está protegida contra de la gran Internet; pero si la VPN es en sí misma una entidad malvada, entonces regresas a donde empezaste. Hasta cierto punto, una VPN corrupta haría la tarea un poco más fácil para el atacante porque, por construcción, todos sus paquetes pasarán por la VPN, pero esto no cambia la situación de forma cualitativa.
SSL ha sido diseñado para resistir una Internet hostil. Esto todavía se basa en una instanciación adecuada; De manera crucial, debe tener en cuenta las advertencias del navegador, ya que si permite que sus conexiones usen un certificado de servidor no verificado, la seguridad se irá por el desagüe.
Por supuesto, si su VPN específica incluía la instalación de algún software local, y tiene razones para creer que este software podría ser malintencionado con usted, entonces todas las apuestas están desactivadas. En la práctica, este software podría haber instalado una CA raíz adicional que controla, lo que permitiría a un cómplice montar un man El ataque en el medio que no activa las advertencias del navegador. Hay algunos productos empresariales que hacen precisamente eso (los empleados han aprendido durante mucho tiempo que con SSL pueden escapar de los filtros utilizados por sus administradores de sistemas en el lugar de trabajo; actualmente los administradores de sistemas se están actualizando). Conclusión: SSL protege la transferencia de datos entre su computadora y el servidor de destino; no hace nada acerca de la integridad de su computadora.
Sí, es posible, si utilizan ataques como sslstrip o sslsniff . Básicamente, estos realizan una gestión intermedia y proporcionan certificados falsos, o redirigen el tráfico HTTPS a HTTP. No es transparente en el usuario final a menos que los atacantes pongan en peligro el certificado de la CA, por lo que se mostrará una advertencia si el certificado no es válido.