技术上VPN服务商有能力解开用户通过https的内容包括密码,因为你用了他们的服务与客户端,从而无条件信住他们的网关,https中的证书被替换后没有任何警告提示。
VPN服务商可能收集这些信息用于盈利或其它目的,或按要求向政府提供信息。还有很多人用免费的VPN,风险更大,完全就是自愿送自己的数据当羊毛。
所以访问外网不要用第三方的网关或VPN。除非是你信任而愿意将信息托付给对方。
如果你的应用都是HTTPS(它基于互联网的基础加密方法--非对称加密,在当前是安全的),建议不要用第三方的VPN。