Ja en nee... HTTPS is een veilige laag over het onveilige HTTP protocol. Maar om die veilige laag op te kunnen zetten moeten beide eindpunten wel van elkaar weten wie ze zijn; op zijn minst moet de client de server kunnen authenticeren. Je hebt dus altijd een stukje wat niet versleuteld is voordat de versleuteling toegepast kan worden. Toegegeven, je kunt niet al het verkeer onderscheppen en doorlezen maar de metadata wél. Zeker met de oude HTTPS-versies waar de URL onversleuteld doorgestuurd moest worden zodat de server de juiste vhost met het juiste certificaat kon aanbieden.
Dus ging jij naar een bepaalde website, dan was de URL niet versleuteld, waardoor iemand die het verkeer naar jouw mobiel of router in de gaten houdt kan zien naar welke (controverciële) websites jij surft. Die 'iemand' kan je ISP zijn, al dan niet in opdracht van een (buitenlandse) juridische macht. Maar het kan ook een (buitenlandse) (staats-)hacker zijn die daarin geïnteresseerd is en je router heeft gehacked.
Wellicht vind je dat een beetje overdreven / doomdenken, maar vraag het maar eens aan
Huib Modderkolk, onderzoeksjournalist van de Volkskrant. (Of lees simpelweg zijn boek:
Het is oorlog maar niemand die het ziet).
Met een VPN wordt het een stuk lastiger om het verkeer te onderscheppen en in te zien. Je router en ISP zien alleen dat er een verbinding wordt gelegd naar een IP-adres van de VPN-dienst en that's about it. En nee, natuurlijk ben je dan niet beschermd, want als de belangen zo hoog zijn dat ze jouw ISP of je router DOELGERICHT gaan hacken, dan nemen ze gewoon de VPN-dienst onder vuur. Het IP-adres waar jij mee verbind zal doorgaans van een apparaat of netwerk zijn wat jouw VPN-verkeer weer zal ontsleutelen. Dus het duurt wellicht wat langer, maar ook die kunnen ze hacken. Het is maar net hoezeer ze geïnteresseerd zijn in jouw persoon en je doen-en-laten.
Maar wat je vaker ziet is dat een hele groep routers kwetsbaarheden bevatten die worden uitgebuit om ze aan een botnet toe te voegen. De beheerders van zo'n botnet kunnen op die manier wel allehande informatie binnen halen en verwerken. Een voorbeeld daarvan is kijken bij wie er DNS-requests naar bepaalde doelen voorbij komen die kunnen duiden op besmetting van een ander (bevriend of concurrerend) botnet. En stel nu dat die beheerder een anti-Trump aanhanger is... dan kan hij er voor kiezen om zijn netwerk uitendelijk op te blazen door alle routers die ooit naar Truth Social hebben verbonden onklaar te maken. Ik zeg niet dat het gebeurd of gaat gebeuren, maar dat het technisch mogelijk is, dat is zeker.
Dus wil je echt de 'kracht van het internet' gebruiken voor de routering? Gebruik dan Tor zónder VPN. En dan is het maar te hopen dat Tor niet een of andere backdoor heeft waardoor bepaalde inlichtingendiensten alsnog mee kunnen lezen. Want persoonlijk (en dat is mijn niet op feiten gebaseerde mening) vind ik het wel heel bijzonder dat je Tor zomaar kunt downloaden en er geen inlichtingendienst er iets over roept. Terwijl er links en rechts software-aanbieders worden aangevallen om door middel van code-injecties malware te verspreiden. Dus je maakt mij niet wijs dat je met je Tor browser compleet veilig en anoniem bent en blijft. De Tor-browser mag dan wel opensource zijn, er zit nog een wereld van verschil tussen de open verkrijgbare broncode en de uiteindelijke gecompilede, publiekelijk te downloaden code.