Rischio di certificato SSL autofirmato sul server OpenVPN

2

Sto costruendo un server OpenVPN in AWS per la mia organizzazione con un record DNS che lo indirizza a vpn.myOrgnization.com.

NOTA SIDE: abbiamo recentemente trasferito tutti i nostri certificati SSL nel nuovo (e gratuito!) ACM (Amazon Certificate Manager), ma non posso installarlo sul server OpenVPN perché ACM supporta solo i bilanciatori di carico elastici di Amazon e CloudFront (nel senso che non posso installare i certificati direttamente sul server OpenVPN).

La mia domanda è, qual è il rischio di avere un certificato autofirmato sul nostro server OpenVPN? Il rischio è semplicemente la possibilità di MitM quando gestisce il server OpenVPN? Suppongo inoltre che quando un utente naviga nel dominio vpn.myOrganization.com, un MitM potrebbe impersonare il nostro server OpenVPN per sottrarre credenziali VPN. Ma, una volta configurato il client OpenVPN con un'autenticazione corretta, esiste un rischio futuro? La connessione VPN già configurata può essere MitM ogni volta che il client si connette? La mia comprensione è no. Il protocollo OpenVPN non si basa sul certificato SSL autofirmato sul server, ma non sono certo esperto del protocollo OpenVPN.

Qualsiasi pensiero o suggerimento sarebbe molto apprezzato. Probabilmente acquisteremo un certificato jolly per il nostro dominio, piuttosto che affidarci solo al gestore di certificati gratuito di Amazon, ma ero anche curioso di sapere quale fosse questo rischio (anche se lo attenueremo comunque con un certificato).

Grazie in anticipo per i pensieri.

    
posta jay-charles 28.01.2016 - 16:00
fonte

2 risposte

4

Se si utilizza OpenVPN per la propria organizzazione è probabilmente meglio non utilizzare alcun certificato pubblico per OpenVPN ma creare la propria CA e accettare solo i certificati emessi da questa CA. Questo è in realtà il modo proposto nel OpenVPN Howto . In questo modo hai il pieno controllo dei certificati e anche se alcune CA pubbliche vengono compromesse e rilasciano certificati a tuo nome, nessuno dei tuoi endpoint OpenVPN li accetterà, perché vengono accettati solo i certificati emessi dalla tua CA.

A parte questo: l'utilizzo di un certificato autofirmato non comporta un rischio di per sé, non per VPN e non per HTTPS. Il rischio è solo se il certificato non è completamente convalidato. Un certificato autofirmato non può essere convalidato senza informazioni aggiuntive come l'impronta digitale ricevuta su un canale sicuro (come il telefono o stampato) ed è per questo che è normale saltare la convalida completamente perché sembra troppo difficile. Quindi non è l'uso dell'autofirmato il rischio, ma non la verifica in modo appropriato.

    
risposta data 28.01.2016 - 17:06
fonte
3

In cima alla mia testa, dovresti preoccuparti di qualcuno che imita il server VPN e quindi accetta le credenziali dell'utente, che possono riprodurre. Il client VPN fornisce un avviso che non è possibile verificare la certificazione? In tal caso, suggerisco di installare il certificato sulle macchine come attendibile, in modo che non ricevano l'avviso. Quindi, insegna agli utenti che se visualizzano l'errore cert, c'è un problema / rischio per la sicurezza e non procedere all'accesso.

    
risposta data 28.01.2016 - 16:39
fonte

Leggi altre domande sui tag