答案1
您公司的 VPN 不會加密從您的電腦到您要自己註冊的網站的數據,只會加密從您的電腦到您公司的 VPN 伺服器的數據。
HTTPS(如果使用正確)可確保從您的電腦到網站的資料是安全的,並且您不是惡意軟體的受害者中間人攻擊。
所以。安全嗎? 「也許」(但與您的 VPN 無關),您總有可能在從 VPN 伺服器到網站的途中您的帳戶/密碼資訊被盜。
答案2
我猜您擔心您在頁面上輸入的詳細資訊未加密發送。
公司 VPN 將保護您和 VPN 伺服器之間的連線。 VPN 伺服器仍然必須在其自身和 HTTP 頁面/伺服器之間開啟未加密的連接,而不是您的電腦本身開啟連接。
也許它稍微安全一些,因為企業網路連線比消費者網路連線更安全,但您的資訊仍然以未加密的方式發送,並且仍然受到中間人。
答案3
看到我對其他答案的評論變得很長,我想我應該把它分開:
如果不知道相關連線的確切細節(OP 尚未指定),就不可能回答企業 VPN 連線是否為 Web 伺服器提供與 SSL 相同的安全性。
然而,作為一般參考,有兩個主要場景需要考慮:
1)如果使用者使用 VPN 連接到公司網路以連接到公司網路外部未加密的公共網站,那麼提供的安全性就相當於從企業網路直接存取同一個未加密的網站。
它將防止您的設備和公司網路之間的通訊被攔截,但不會防止您的公司網路和公共網路伺服器之間的通訊被攔截。它的安全程度取決於您對公司網路與公共網路伺服器的連接的信任程度。
無論如何都會是比直接連接到公共網路伺服器的正確配置的 HTTPS 連線安全性較低從您的客戶端設備。
但是,如果您使用未加密的公共熱點或其他不受信任的 ISP,此機制將防止竊聽您的本機連線。
2)如果使用者使用 VPN 連接到公司網路以連接到未加密的公司網路上的資源如果位於 VPN 伺服器後面或 VPN 伺服器本身,則它會一直保護到目標網路本身的連線。
這提供的保護大致相當於對相關網頁伺服器的 HTTPS。
ysdx 的答案很好地說明了第一點,只是它錯過了 HTTP 伺服器之後的所有內容。
與網頁伺服器的完全加密的 HTTPS 連線並不能保證網頁來源的完全安全,就像場景 2 中的企業 VPN 一樣。
HTTPS 在兩個 TCP 端點之間提供安全性保證。 VPN 在兩個 TCP 端點之間提供安全保證。在這兩種情況下,端點都是您的 PC 和位於其他伺服器的公司/內部網路邊緣的伺服器。任何一種方法都無法保證該邊緣之後發生的情況。
許多人忘記了,對於許多大型網站來說,您在 HTTPS 會話期間連接到的 HTTPS 網路伺服器並不是您正在查看的網頁的來源伺服器。發生這種情況的原因有很多,包括:
1) 負載平衡器,通常透過公司 LAN 與實際為網頁上的內容提供服務的各種內容伺服器建立未加密的網路連線。
2) 反向代理、NAT 等將您的連線轉送(同樣未加密)到公司 LAN 甚至其他公共網站上的任意伺服器。
3) 快取伺服器或 DDoS 保護服務,例如 CloudFlare,其中一些在公共互聯網上運行,但將您的連接轉發到另一家公司的伺服器以實際提供內容 - 通常透過第二個加密連接或 VPN。
4) 資料庫或 NAS/SAN 後端,其中 Web 伺服器使用透過公司 LNA 與另一台伺服器的未加密連線來檢索網站內容。
在所有這些情況下,Web 會話的安全性都依賴 HTTPS「網關」後面的公司 LAN 的安全性,這與連接到公司 VPN 後面的公司伺服器的方式完全相同。
答案4
不,使用 VPN 並不能讓 VPN 流量安全。當離開 VPN 隧道(VPN 伺服器和 HTTP 伺服器之間)時,流量(通常)不加密:
Unencrypted HTTP here
|
v
[ HTTP ]<--------------->[ HTTP ]
[ TCP ]<--------------->[ TCP ]
[ IP ]<->[ IP ]<->[ IP ]
[ OpenVPN ]<->[ OpenVPN ]
[ TCP ]<->[ TCP ]
[ IP ]<->[ IP ]
Client VPN server HTTP server
因此,只有當您假設 VPN 伺服器和 HTTP 伺服器之間的路徑出於某種原因是「安全性」(它是同一台主機,它使用 VPN...)時,它才是安全的。