Il certificato SHA-1 autofirmato è sufficientemente sicuro per un'azienda che trasmette dati sensibili?

Question

Il certificato SHA-1 autofirmato è sufficientemente sicuro per un'azienda che trasmette dati sensibili?

#1 da (3 voti)

1

Recentemente abbiamo deciso di pagare un ISP (una somma considerevole, mente) per un servizio Internet gestito fino al router incluso nella nostra sede centrale.

Parte delle discussioni iniziali ha chiarito che qualunque soluzione l'ISP ritenesse fosse meglio avere per includere una VPN in quanto vari membri dello staff sono in viaggio molto, caffetterie e treni e il come.

L'ISP ha consegnato una soluzione VPN sotto forma di Cisco AnyConnect che continua a mostrare avvisi di sicurezza poiché il certificato è autofirmato. Il certificato è anche SHA-1.

1) La mia domanda principale è questa. È questa sicurezza adeguata per una soluzione a pagamento?

2) La mia seconda domanda (anche se potrebbe essere fuori luogo in quest'area di SE) è questa. È ragionevole supporre che l'ISP fornirebbe un adeguato certificato di soluzione dato che la natura sensibile dei dati che trasmettiamo è stata loro divulgata?

vpn tls certificates

posta Prinsig 13.03.2015 - 11:55

fonte

1 risposta

Leggi altre domande sui tag vpn tls certificates

Potrebbe essere installata un'applicazione radice nella scheda SIM Facebook hacker [chiuso]

score 3 · Accepted Answer

L'uso di SHA-1 è irrilevante qui.

Il problema con un certificato autofirmato è che non c'è modo per nessuno di verificare che il certificato sia corretto o meno; questo è esattamente ciò che significano gli avvertimenti del cliente. Quando uno dei membri del personale vede l'avviso e fa clic per connettersi comunque, quell'utente potrebbe connettersi a un falso server VPN, gestito da un utente malintenzionato, che potrebbe quindi inoltrare i dati al server vero ma anche ispezionarlo come goes: un classico attacco Man-in-the-Middle .

Si potrebbe anche dire che con il certificato autofirmato, si sta addestrando il proprio personale a ignorare i messaggi di avviso, quindi, in generale, si è abbassata la sicurezza.

Un modo per risolvere il problema è installare il certificato VPN come "affidabile", esplicitamente, in ogni macchina client. Ciò significa che istruisci il computer client ad accettare quel certificato esatto come quello giusto. La documentazione di Cisco dovrebbe dirti come farlo.

Un altro metodo consiste nell'ottenere dall'ISP l'acquisto e l'installazione di un certificato ottenuto da una delle "CA commerciali" di cui già le macchine esistenti si fidano; questo è lo stesso tipo di certificato di quello che ti serve per un sito Web https:// che non offenda i suoi utenti. Questo è tradizionalmente noto come "certificato SSL" e puoi averne uno per pochi dollari all'anno (anche gratuitamente con qualche CA).