[Eisfair_dev] openvpn2 1.0.5 testing für eisfair1 released
Olaf Jaehrling
eisfair at ojaehrling.de
Sa Okt 21 19:20:16 CEST 2017
Hallo Frank
Frank Eckelmann schrieb am 21.10.2017 um 09:20:
> Hallo Olaf,
>
> danke für Deine Arbeit, läuft problemlos auf 3 Maschinen.
>
> Eine Bitte hätte ich an Dich, kannst Du bitte in dem Update wo das
> ns-cert-type abgeschaltet wird eine zusätzliche Bestätigung einbauen?
Hmm, ich weiß nicht ob das wirklich Sinn macht. Der Type ist ja nur
relevant bei der Clientconfig. Hier mal der Unterschied
alt:
ns-cert-type server
neu:
remote-cert-tls server
und das nur beim client.
Das heißt also, dass eigentlich nie was passieren kann. Nur neue,
automatisch erzeugte Clientkonfigs (durch das setup) steht dann der neue
Syntax drin. Die neue Version läuft noch mit beiden Einstellung.
Sowohl ns-cert-type als auch remote-cert-tls.
Auch läuft mit dieser Version noch md5 als auch sha256
Die nächste Version kann aber definitiv kein md5 mehr. Du wirst also
wohl oder übel alle Zertifikate umstellen müssen. Leider beinhaltet das
auch das Serverzertifikat.
Ich teste hier bei mir mal folgende Vorgehensweise
Client- und Serverzertifikat noch mit der alten Version, also md5.
Dann werde ich mal die neue Version installieren und nur die
Clientzertifikate neu erstellen. Ich glaube nicht daran, dass das
klappt, aber evtl gehen die neuen client-Zertifikate ja mit dem alten
Server-Zertifikat. Wenn das gehen sollte, erstelle ich das
Serverzertifikat neu und dann sollte alles auf neu umgestellt sein.
Die Umstellung ist nicht auf meinem Mist gewachsen, sondern beruht auf
Änderungen bei openssl. Dieses lässt md5, weil unsicher, nicht mehr zu.
Also, der Cert-Type ist eigentlich nicht dein Problem, sondern der Hash.
>
> Gibt es im ns-cert-type gravierende Sicherheitsrisiken? Vielleicht
hast Du Dich ja schon näher damit beschäftigt.
Es ist halt von openvpn als Depecated gekennzeichnet. D.h. es wird in
den neuen Versionen vermutlich nicht mehr unterstützt werden.
Du kannst mit der aktuellen Version also in Ruhe deine
Clientkonfigurationen auf remote-cert-tls umstellen. Einfach in der
client.conf (oder client.ovpn) umändern. Da passiert absolut garnichts.
Es geht mit beiden. Und noch ist ja keine neue Version am Start.
Viele Grüße
Olaf.
P.S. Bitte versuche in der NG zu bleiben. Das Thema interessiert evtl.
noch andere Leute. :)
>
> Viele Grüße
> Frank
Mehr Informationen über die Mailingliste Eisfair_dev