Non è necessario.
Se disponi di una VPN, anche il traffico DNS passa attraverso quella VPN (a meno che non sia “trapelato”). Il server DNS del server VPN ora dice che il server “quel ragazzo in mezzo” è ora snapchat.com.
Facebook crea un certificato per snapchat.com. Snapchat è ora disponibile per l'uomo al centro di Facebook.

Sembra che Snapchat non abbia verificato se il certificato utilizzato fosse valido (firmato da una CA pubblica, o meglio ancora, un certificato noto a SnapChat stesso), ma abbia solo controllato che Quello certificato.
Facebook decodifica il traffico, lo analizza, lo crittografa nuovamente nel vero Snapchat, ecc.

Questo non funzionerà facilmente con un browser, perché ha un numero di CA standard (che il software del tuo browser ha controllato per te e ha ritenuto che siano sicure/attendibili). Affinché funzioni, al tuo browser deve essere concessa una nuova CA.
Vedi spesso questo costrutto tra i datori di lavoro. Inviano una “CA interna” ai browser (per i siti interni), ma dispongono anche di un server proxy trasparente. Richiesta TLS a www.willekeurigewebsite.nl Inizia. Il proxy crea un certificato per quel sito web “al volo” e lo trasmette a Internet. In questo modo, il datore di lavoro può verificare se i siti web in questione sono sicuri/consentiti e può comunque monitorarli quando necessario.
Ciò che si vede in pratica è che non funziona per i siti di “sicurezza estesa” come banche e simili trovare un equilibrio con la garanzia della privacy dei dipendenti.

Comunque. Il fatto che ciò sia accaduto con l'app Snapchat significa anche che anche Snapchat stesso ha commesso degli errori. Se avessero mantenuto l’ordine, questo non sarebbe successo. (Tuttavia, questo era un altro scherzo ancora più ridicolo da parte dell'odioso Facebook)