Ну и вообще: что делать?

VPN через IPSec // thread

Да, подсунув жертве свой удостоверяющий центр в доверенные и сгенерив свой сертификат для гугла, а потом подписав его своим УЦ

Ну и посмотри список CA в своем браузере, ты всем CA доверяешь?

Ну и вообще: что делать?

i2p

ну и тюнить браузер/почтовый клиент, чтобы он о тебе не стучал

VPN'у я тоже не доверяю.

Даже на свой сервак? Через ipsec?

Да, подсунув жертве свой удостоверяющий центр в доверенные и сгенерив свой сертификат для гугла, а потом подписав его своим УЦ

А какие есть методы «подсовывания»? Сам я левых сертификатов не ставил, комп на NAT'ом и с файрволом.

Ну и посмотри список CA в своем браузере, ты всем CA доверяешь?

Доверяю только своему CA для самоподписанных сертификатов, про остальные CA мне ничего не известно.

Даже на свой сервак? Через ipsec?

Если свой сервак на VPS, то это все равно не то. Тем более еще и забанить могут. Сейчас ProstoVPN прикупил, потом может на VPS'ке настрою, но хотелось бы нормальной скорости сети, VPN через Канаду не сильно комфортно.

Про ipsec не вкурсе, чем оно лучше/хуже OpenVPN? Может я чего-то не понимаю?

Сам я левых сертификатов не ставил, комп на NAT'ом и с файрволом.

Тогда маловероятно.

Нереально, не имея private key от сертификата. Исключение - если браузер не совсем «тот» за кого себя выдаёт (то есть он не делает запрос в CA, или делает но не туда, куда нужно).

Еще один способ хотя и старый, но иногда работает - это 'заворачивание' https на http (по сути - редирект на http, схема зависит от наличия http версии ресурса и фантазии в сумме с желанием). Возможно, некоторые браузеры уже умеют предупреждать об этом.

Ну вроде успокоили, спасибо. Буду бдить.

Ну вроде успокоили, спасибо.

Рано.

про остальные CA мне ничего не известно.

Ну вот собственно при утечке корневых сертификатов злоумышленник может подписать свой и браузер распознает как валидный.

Дальше можно пофантазировать кому могут быть доступны КС об утечке которых не сообщалось.

Точно не знаю, но кажется провайдер это делает не для слежки, а для кэширования и урезания скорости. Даже сайты банятся по IP, а не по URL, хотя стоит прокси.

Но вообще просто СА надо проверять периодически.

Ну вот собственно при утечке корневых сертификатов злоумышленник может подписать свой и браузер распознает как валидный.

Он же отпечатки сверял.

Есть DigitalOcean, у которого можно взять VPS в Европе за $5 в месяц.

Вы всем СА не глядя доверяете? Ну тогда лечиться надо

Есть DigitalOcean, у которого можно взять VPS в Европе за $5 в месяц.

Уже есть. Не хочу использовать под VPS, дабы меня за это не забанили. Да и трафик может кончится.

Если свой сервак на VPS, то это все равно не то. Тем более еще и забанить могут
Не хочу использовать под VPS, дабы меня за это не забанили.

Черт, люди на этих впсах порнуху хостят, торренты раздают, открытые прокси ставят и тем более как VPN используют. Ты слишком много боишься.

Ого, а что за провайдер? Можно сделать дамп трафика?

Какого трафика? :-) Что там должно найтись?

Если твоя VPS не начнет спамить из-за того, что боты подобрали словарный пароль или использовали любую иную уязвимость для захвата контроля над сервером, то никто не будет к тебе приставать. Абузы они форвардят хозяину VPS, если не будешь их игнорить то всё ок.

Ради траффика можно и на $10 тариф перейти где 2 Тб. Не говоря о том, что в случае превышения стоимость траффика всего 2 цента за гигабайт.

Дамп трафика, в котором https не работал. Например, на https://passport.yandex.ru

http://pastebin.com/2Av0NqiU

Во-первых, это только половина трафика - запросы к passport.yandex.ru, ответов нет, во-вторых, немного сложно декодировать ServerHello из текстового дампа.

Пришли, пожалуйста, бинарный дамп только просто «host passport.yandex.ru and tcp port 443» на ivlad@yandex-team.ru. Спасибо.

насколько я помню, ДО до сих пор не научился считать трафик, и по этому любые превышения пока бесплатны. и ну не знаю, меня не отключают, там только за явную нелегальщину банят так то

Безопасность VPN основан на IPsec вообще-то.

IPsec ты всё равно используешь в VPN, так что не парься. А по поводу а различий (VPN и IPsec) - такие же как между нефтью и бензином.

а сейчас у многих РУ провайдеров подменяют гугловский сертификат?

заметил, что через локалку приходит самоподписанный, а через туннель с полной цепочкой сертификации, очевидно MITM в локалке

SSH2, наверно, MITM-му не поддается при использовании ключевой пары?