Vlákno názorů k článku Studie: devět z deseti SSL VPN je beznadějně nebezpečných od Filip Jirsák - On musí být klientský certifikát pro VPN vystaven...
-
Lol Phirae (neregistrovaný)
co vám brání mít na serveru certifikát vydaný jednou certifikační autoritou, a akceptovat certifikáty vydané jinou (klidně vlastní) certifikační autoritou.
Mozek a zdravý rozum.
P.S. Ještě stále jsi nám nevysvětlil ten MITM útok na "nedůvěryhodné" certifikáty. Samozřejmě pokud nedůvěřuju poskytovateli té VPN, tak ji nebudu používat. Pokud mu důvěřuju, tak důvěřuju jeho "nedůvěryhodnému" certifikátu -- a ta parta šašků obchodujících s důvěrou je holt na mizině a pro mne zcela nepotřebná.
-
Tomas3 (neregistrovaný)
Pan Docekal pouze korektne cituje studii organizace, ktera provozuje velmi povedeny nastroj pro testovani prvku s TLS/SSL. Na jejich webu se doctete za co vsechno dostava prvek "F"-ko, a to uz by vas ta negativne vysoka cisla asi neprekvapovala.
Nema-li vase VPN zadnou chybu v implementaci, potazmo vyuzivanych knihovnach, a ani v nastaveni, tak je samozrejme MITM temer vyloucen. Na druhou stranu, az na nekolik malo pripadu, kdy ma SSL VPN smysl, bych se tomuto vydobytku radeji vyhnul.
-
V článku i studii se (logicky) píše o serverových certifikátech. Vy píšete o klientských certifikátech. Takže se ještě jednou ptám, u které implementace a co vám brání mít na serveru certifikát vydaný jednou certifikační autoritou, a akceptovat certifikáty vydané jinou (klidně vlastní) certifikační autoritou.
-
fd (neregistrovaný)
Jak koukam, vseznalec DD se dal jiz i na sitovani. Vskutku by mne zajimal vektor utoku na VPN pouzivajijici selfsign certifikaty. Ja naivne predpokladam, ze pokud mam server, ktery disponuje seznamem akceptovanych certifikatu (coz je nejbeznejsi zpusob konfigurace VPN) a klienty, kteri maji (zcela libovolne) certifikaty (z onoho seznamu) tak je vektor utoku pomoci MITM presne zadny.
Pochopitelne jina vec je zajisteni klientskych certifikatu jako takovych.
Ale s "duveryhodnosti" to nema nic spolecneho.
-
Lol Phirae (neregistrovaný)
Jirsáku, zcela normální implementace VPN je ta, že si vytvořím vlastní CA, její certifikát distribuuju klientům a v ní si vydávám a mám pod plnou kontrolou veškeré certifikáty těch klientů. Což ovšem "znalec" jako ty nebo Dočekal nikdy nepochopí. S rizikem MITM to absolutně nesouvisí, v článku je nehorázný blábol.
P.S. Běž dostudovat ten export z Gimpu.
-
Lol Phirae (neregistrovaný)
Ano, není nad odporníka. Např. opravdu děsně prahnu po tom, aby se mi k OpenVPN přihlašoval každý, kdo má "důvěryhodný" klientský certifikát od nějaké "důvěryhodné" CA. U VPN je "důvěryhodný" certifikát vysloveně nežádoucí. Dočekale, piš si vo Fejsbůůku a dalších sociálních hovadinách, tam tvé "schopnosti" evidentně končí.
ČLÁNKY DO MAILU