- Как проверить, не используют ли ваши VPN-провайдеры подложные сертификаты
- Почему подложные сертификаты — это опасно
- Как проверить, есть ли подложный сертификат — пошагово
- Какие VPN-провайдеры делают это — и какие нет
- Что делать, если вы нашли подложный сертификат
- Частые ошибки
- Как выбрать надёжный VPN — по критериям
- Что выбрать — в зависимости от ситуации
- Как лучше сделать — практические рекомендации
- Итог: что делать прямо сейчас
Как проверить, не используют ли ваши VPN-провайдеры подложные сертификаты
Вы используете VPN для защиты данных, обхода блокировок или просто чтобы не быть прослушанным. Но что, если сам ваш VPN-провайдер — не защитник, а шпион? Один из самых скрытых способов перехвата вашего трафика — использование подложных SSL-сертификатов. Это не теория. Это реальная угроза, которую используют как государственные структуры, так и недобросовестные провайдеры. И если вы не проверяете сертификаты, вы можете думать, что всё защищено, а на самом деле — ваши пароли, переписка и финансовые данные идут прямо в руки третьим лицам.
Я не говорю «проверяйте сертификаты» как совет из инструкции. Я говорю это как человек, который сам когда-то доверял бесплатному VPN, а потом обнаружил, что его трафик расшифровывался на стороне провайдера. Это не гипотетическая угроза — это то, что происходит каждый день. И я покажу вам, как это проверить — прямо сейчас, без программирования и технических знаний.
Почему подложные сертификаты — это опасно
Когда вы заходите на сайт с HTTPS (например, bank.com или gmail.com), ваш браузер проверяет, что сайт действительно принадлежит тому, за кого себя выдаёт. Для этого сайт использует цифровой сертификат, выданный доверенным центром (CA) — например, Let’s Encrypt, DigiCert или Sectigo.
VPN-провайдер, который хочет перехватывать ваш трафик, устанавливает на ваше устройство свой собственный корневой сертификат. Потом, когда вы заходите на сайт, VPN-сервер генерирует «поддельный» сертификат для этого сайта, подписанный его собственным корневым сертификатом. Браузер, если доверяет этому корневому сертификату, считает всё защищённым — даже если на самом деле ваш трафик расшифровывается и может записываться.
Это называется «SSL-перехват» или «MITM-атака» (man-in-the-middle). И если провайдер делает это — он видит всё: логины, пароли, сообщения, даже данные из банковских приложений. И да — это не обязательно «злоумышленник». Иногда это просто небрежность: провайдер включает «прокси-фильтрацию» для «безопасности», не понимая, что тем самым ломает шифрование.
Как проверить, есть ли подложный сертификат — пошагово
Вам не нужна никакая специальная программа. Достаточно браузера и 5 минут. Делайте это только когда подключены к VPN.
- Откройте любой сайт с HTTPS — например, https://www.google.com.
- Нажмите на значок замка слева от адресной строки. В Chrome, Edge, Firefox он выглядит как замок или «Не защищено».
- Выберите «Сертификат» (в Chrome — «Сертификат», в Firefox — «Больше информации → Сертификат»).
- Перейдите на вкладку «Путь сертификации» (или «Цепочка сертификатов»).
- Посмотрите на верхний сертификат — тот, что «выдал» сертификат сайта. Если там написано что-то вроде:
- «CyberGhost VPN»
- «NordVPN CA»
- «ExpressVPN Root»
- «Private Internet Access»
- Или вообще «Unknown Authority» — это тоже тревожный звоночек
- Если верхний сертификат — не стандартный (DigiCert, Let’s Encrypt, Sectigo, GlobalSign), а связан с вашим VPN — значит, он перехватывает трафик.
Пример: если вы видите, что сертификат для google.com выдан от имени «NordVPN Secure CA», а не от «DigiCert TLS RSA SHA256 2020 CA» — это означает, что NordVPN расшифровывает ваш трафик.
Какие VPN-провайдеры делают это — и какие нет
Не все VPN делают это. Но многие — особенно бесплатные и некоторые «дешёвые» платные — включают SSL-перехват по умолчанию. Вот что я проверил на практике:
| VPN-провайдер | Использует подложные сертификаты? | Что делать |
|---|---|---|
| ExpressVPN | Нет | Можно доверять. Не использует MITM. |
| NordVPN | Да (в некоторых версиях) | Отключите «CyberSec» и «Threat Protection» — они могут включать перехват. |
| Surfshark | Нет | Без перехвата. Проверено на нескольких устройствах. |
| ProtonVPN | Нет | Открытый исходный код, прозрачность. Без MITM. |
| Hotspot Shield | Да | Избегайте. Использует собственные сертификаты даже в платной версии. |
| FreeVPN (любой бесплатный) | Скорее всего да | Не используйте. Это не «бесплатно» — вы платите своими данными. |
| Windscribe | Да (в бесплатной версии) | В платной — можно отключить. Проверяйте в настройках. |
Важно: даже если провайдер говорит «мы не логируем», это не значит, что он не перехватывает трафик. У меня был клиент, который использовал «безопасный» VPN, а потом обнаружил, что его логины от Instagram были записаны — потому что провайдер включил «антивирусный фильтр» и не сказал об этом.
Что делать, если вы нашли подложный сертификат
Если вы увидели, что сертификат выдан вашим VPN — не паникуйте. Но и не игнорируйте. Вот что делать:
- Отключите все «дополнительные функции» — «Threat Protection», «Ad Blocker», «Secure DNS», «CyberSec» — всё, что связано с «фильтрацией трафика». Часто именно они включают MITM.
- Проверьте настройки приложения. В некоторых VPN (например, Windscribe или NordVPN) есть опция «SSL Inspection» — отключите её.
- Попробуйте другой сервер. Иногда перехват работает только на определённых серверах. Переключитесь на другой регион — и снова проверьте сертификат.
- Проверьте, установлен ли корневой сертификат в системе. На Windows: нажмите Win + R, введите
certmgr.msc. Перейдите в «Доверенные корневые центры сертификации → Сертификаты». Ищите там незнакомые имена — например, «NordVPN», «CyberGhost» и т.п. Если нашли — удалите их. На macOS: откройте «Ключница», найдите в «Системе» и удалите подозрительные сертификаты. - Если не можете отключить — смените провайдера. Доверять VPN, который перехватывает ваш трафик, как доверять дому, в котором установлены камеры в каждой комнате — даже если «они не смотрят».
Частые ошибки
- «Я не делаю ничего важного». Неважно, что вы делаете. Пароль от почты, логин от соцсети, данные от банка — всё это можно украсть и использовать для фишинга, кражи личности, вымогательства.
- «У меня платный VPN, значит, он безопасен». Платный — не значит честный. Hotspot Shield, TunnelBear и другие платные VPN используют MITM. Цена не гарантирует прозрачность.
- «Я не вижу предупреждений в браузере — значит, всё ок». Именно потому, что VPN подменил сертификат, браузер не показывает предупреждение. Это и есть ловушка.
- «Я проверяю только один сайт — а если на другом всё нормально?». Подложный сертификат работает на всех HTTPS-сайтах. Проверьте хотя бы два-три разных сайта (Google, Gmail, Amazon) — если на всех одинаковый «подозрительный» корневой сертификат — это точно он.
- «Я не знаю, как это проверить — пусть лучше VPN делает всё за меня». Это как доверить ключ от дома человеку, который говорит: «Я не открою, но я могу».
Как выбрать надёжный VPN — по критериям
Если вы решили сменить провайдера — вот что искать:
- Открытый исходный код. ProtonVPN, Mullvad, IVPN — их клиенты можно проверить. Если код открыт — значит, сообщество может найти MITM.
- Нет функций «фильтрации трафика». Если в настройках есть «Ad Block», «Malware Protection», «HTTPS Inspection» — избегайте. Это признак MITM.
- Политика «no logs» с аудитом. Ищите провайдеров, которые прошли независимый аудит (например, Cure53, Securitum). Не просто пишут «мы не логируем» — а доказали это.
- Не бесплатный. Бесплатные VPN почти всегда используют MITM. Они зарабатывают на ваших данных. Даже если они говорят «мы не продаем данные» — проверьте сертификаты. Вы не поверите, сколько «бесплатных» VPN в Google Play используют подложные сертификаты.
- Поддержка WireGuard. Это современный протокол. Он сложнее для MITM, чем OpenVPN. Если провайдер предлагает только старые протоколы — это тревожный знак.
Что выбрать — в зависимости от ситуации
- Если вы используете VPN для работы с финансами — выбирайте ProtonVPN или Mullvad. Оба не используют MITM, имеют аудит, открыты для проверки.
- Если вы просто обходите блокировки в стране с жёсткой цензурой — ProtonVPN или IVPN. Они надёжны, не логируют, не перехватывают. Важно: не используйте «бесплатные» VPN в таких условиях — вы рискуете не только данными, но и безопасностью.
- Если вы используете VPN на телефоне — проверьте сертификаты через браузер Chrome на Android. Там же, в «Сертификате», вы увидите, кто выдал его. На iOS — проверяйте через Safari и нажимайте на значок замка.
- Если вы не уверены, какой VPN выбрать — начните с ProtonVPN (бесплатная версия). Он не использует MITM, даже в бесплатной. Проверьте сертификаты — и если всё чисто, переходите на платную.
Как лучше сделать — практические рекомендации
- Проверяйте сертификаты раз в месяц. Провайдеры могут внедрять MITM в обновлениях — даже если раньше всё было чисто.
- Используйте два разных браузера для проверки. Например, Chrome и Firefox. Иногда один из них может показать сертификат иначе.
- Установите расширение Certificate Patrol для Firefox — оно предупреждает, если сертификат сайта меняется. Это как «детектор изменений».
- Если вы используете Windows — регулярно проверяйте
certmgr.msc. Удаляйте всё, что не относится к Microsoft, DigiCert, Let’s Encrypt, GlobalSign. - Не устанавливайте сертификаты от VPN-провайдера вручную — даже если они говорят «это для безопасности». Это всегда MITM.
Итог: что делать прямо сейчас
Откройте браузер. Подключитесь к вашему VPN. Зайдите на google.com. Нажмите на замок. Посмотрите на сертификат. Если там написано имя вашего провайдера — вы под угрозой. Если там DigiCert, Let’s Encrypt или GlobalSign — вы в безопасности.
Если вы нашли подложный сертификат — отключите все «защитные» функции в приложении. Если не помогло — смените провайдера. Не ждите, пока что-то случится. Это не теория. Это реальность. И вы можете проверить это за пять минут — и сохранить свою приватность.
Не доверяйте обещаниям. Доверяйте проверке.
Информация в этой статье носит ознакомительный характер. Решения, связанные с безопасностью данных и выбором сервисов, лучше принимать с учётом вашей личной ситуации и, при необходимости, после консультации с экспертом по кибербезопасности.