web-dev-qa-db-fra.com

Risque pour le certificat SSL auto-signé sur OpenVPN Server

Je construis un serveur OpenVPN à AWS pour mon organisation avec un enregistrement DNS pointant sur vpn.myorgnizization.com.

Note latérale: Nous avons récemment migré tous nos certificats SSL sur le nouveau (et gratuitez!) ACM (Gestionnaire de certificats Amazon), mais je ne peux pas l'installer sur le serveur OpenVPN, car l'ACM prend en charge uniquement les équilibreurs de charge élastiques d'Amazon (ce qui signifie que je Impossible d'installer les certs directement sur le serveur OpenVPN).

Ma question est de savoir quel est le risque d'avoir un certificat auto-signé sur notre serveur OpenVPN? Le risque est-il simplement la possibilité de MITM quand administrer le serveur OpenVPN? Je suppose également que lorsqu'un utilisateur navigue sur le domaine VPN.MYORGANIZECOM, un MITM pourrait imiter notre serveur OpenVPN pour voler des informations d'identification VPN. Mais une fois que le client OpenVPN est configuré avec une authentification appropriée, existe-t-il un risque futur? La connexion VPN déjà configurée peut-elle être mitm'ed à chaque fois que le client se connecte? Ma compréhension n'est pas. Le protocole OpenVPN ne s'appuie pas sur le certificat SSL auto-signé au serveur, mais je ne suis certainement aucun expert sur le protocole OpenVPN.

Toute pensée ou suggestions serait grandement appréciée. Nous allons probablement acheter un certificat wildcard pour notre domaine, plutôt que de s'appuyer uniquement sur le responsable des certificats Amazon Free, mais j'étais aussi généralement curieux de ce que ce risque est (même si nous l'atténuerons de toute façon).

Merci d'avance pour les pensées.

4
jay-charles

Si vous utilisez OpenVPN pour votre organisation, il est probablement préférable de ne pas utiliser de certificats publics pour OpenVPN mais créez votre propre CA et n'acceptez que les certificats émis par cette autorité de certification. C'est en fait la voie proposée dans le OpenVPN HOWTO . De cette façon, vous contrôlez pleinement les certificats et même si certains des CA publiques sont compromis et émettent des certificats de votre nom, aucun de vos points d'extrémité OpenVPN ne les acceptera, car seuls les certificats émis par votre propre CA sont acceptés.

En dehors de cela: l'utilisation d'un certificat auto-signé n'impose pas un risque en soi, non pour VPN et non pour HTTPS. Le risque n'est que si le certificat n'est pas complètement validé. Un certificat auto-signé ne peut pas être validé sans informations supplémentaires telles que l'empreinte digitale reçue sur un canal sécurisé (comme téléphone ou imprimé) et c'est pourquoi il est commun de sauter complètement la validation car elle semble trop difficile. Donc, pas l'utilisation de l'auto-signature est le risque, mais pas correctement la vérifiant, c'est.

5
Steffen Ullrich

En haut de ma tête, vous devriez vous préoccuper de quelqu'un imitant le serveur VPN, puis accepter les informations d'identification de l'utilisateur, qu'ils peuvent rejouer. Le client VPN fournit-il un avertissement que le certificat ne peut pas être vérifié? Si tel est le cas, je vous suggère d'installer le certificat sur les machines, de sorte qu'ils ne reçoivent pas l'avertissement. Ensuite, enseignez aux utilisateurs que s'ils voient l'erreur CERT, il existe un problème/risque de sécurité et ne procédez pas à la connexion.

3
Rylan