Různé VPN implementace poskytují různou úroveň zabezpečení, to není žádná novinka, ale ani problém. Na stavbě také nepoužíváme cylindrickou vložku čtvrté bezpečnostní třídy a nikdo se kvůli tomu za hlavu nechytá. Celkem se mi v tomto případě líbí výraz "zabezpečení přiměřené míře rizika" - kde není riziko, není problém použít i "méně bezpečné" VPN.
souhlasím s argumentem, zvaž ale trochu jiné specifikum internetu. Nevhodný zámek ve dveřích zneužije leda tak jeden zloděj, který se k těm dveřím dostal, zatímco tyhle slabiny je možné zneužít automatizovaně a hromadně defacto přes celý svět, o to to je daleko nebezpečnější a chce to vzít v úvahu při rozhodování o míře zabezpečení.
VPN server, který využívá slabší šifrování a děravý VPN server nejsou synonyma, i slabší šifra odvede svou práci. Tyhle studie je třeba brát s rezervou, např. hodnocení bezpečnosti VPN serverů na základě použití cerfitikátů, vydaných svépomocí, působí úsměvně. Pokud vygeneruji vlastní certifikáty, svým klientům budu distribuovat VPN klienta "na míru", který bude nastaven, aby věřil jen "mým" certifikátům, je to bezpenější, než použití certifikátů od komerční CA. Bezpečnost není černobílá a je třeba zvažovat mnoho hledisek - nejen sílu šifer, ale i kompatibilitu, cenu, k čemu se VPN používá, výkon zařízení, které se k VPN připojuje atd.
> 76 % používá nedůvěryhodné SSL certifikáty, což je vystavuje riziku MITM (Man in the middle) útoku. Což v praxi může znamenat, že s pomocí falešného serveru se hackeři mohou dostat ke všemu, co posíláte.
Což v praxi znamená, že můj certifikát který jsem si vydal já a používám jen já a nikoli nějaká certifikační „autorita“, která vydá duplikáty všem tří-písmenkovým agenturám co si o něj řeknou.
Jirsáku tys vážně blb. Problém je, že občas certifikační autorita vydá identický (až na klíč) certifikát bez povolení držitele certifikátu. A to že se veřejný a privátní klíč liší od toho "pravého" je ti na dvě věci, protože pinning je v plenkách (a který právě popírá důvěryhodnost "důvěryhodných" autorit) tak tvůj prohlížeč na tento falešný certifikát ani necekne. Teď si blbe můžeš polemizovat o tom, že slovo duplikát v předchozím dotaze pro tebe neznamenal neautorizovaný certifikát.
Jak koukam, vseznalec DD se dal jiz i na sitovani. Vskutku by mne zajimal vektor utoku na VPN pouzivajijici selfsign certifikaty. Ja naivne predpokladam, ze pokud mam server, ktery disponuje seznamem akceptovanych certifikatu (coz je nejbeznejsi zpusob konfigurace VPN) a klienty, kteri maji (zcela libovolne) certifikaty (z onoho seznamu) tak je vektor utoku pomoci MITM presne zadny.
Pochopitelne jina vec je zajisteni klientskych certifikatu jako takovych.
Ale s "duveryhodnosti" to nema nic spolecneho.
Ano, není nad odporníka. Např. opravdu děsně prahnu po tom, aby se mi k OpenVPN přihlašoval každý, kdo má "důvěryhodný" klientský certifikát od nějaké "důvěryhodné" CA. U VPN je "důvěryhodný" certifikát vysloveně nežádoucí. Dočekale, piš si vo Fejsbůůku a dalších sociálních hovadinách, tam tvé "schopnosti" evidentně končí.
Jirsáku, zcela normální implementace VPN je ta, že si vytvořím vlastní CA, její certifikát distribuuju klientům a v ní si vydávám a mám pod plnou kontrolou veškeré certifikáty těch klientů. Což ovšem "znalec" jako ty nebo Dočekal nikdy nepochopí. S rizikem MITM to absolutně nesouvisí, v článku je nehorázný blábol.
P.S. Běž dostudovat ten export z Gimpu.
V článku i studii se (logicky) píše o serverových certifikátech. Vy píšete o klientských certifikátech. Takže se ještě jednou ptám, u které implementace a co vám brání mít na serveru certifikát vydaný jednou certifikační autoritou, a akceptovat certifikáty vydané jinou (klidně vlastní) certifikační autoritou.
co vám brání mít na serveru certifikát vydaný jednou certifikační autoritou, a akceptovat certifikáty vydané jinou (klidně vlastní) certifikační autoritou.
Mozek a zdravý rozum.
P.S. Ještě stále jsi nám nevysvětlil ten MITM útok na "nedůvěryhodné" certifikáty. Samozřejmě pokud nedůvěřuju poskytovateli té VPN, tak ji nebudu používat. Pokud mu důvěřuju, tak důvěřuju jeho "nedůvěryhodnému" certifikátu -- a ta parta šašků obchodujících s důvěrou je holt na mizině a pro mne zcela nepotřebná.
Pan Docekal pouze korektne cituje studii organizace, ktera provozuje velmi povedeny nastroj pro testovani prvku s TLS/SSL. Na jejich webu se doctete za co vsechno dostava prvek "F"-ko, a to uz by vas ta negativne vysoka cisla asi neprekvapovala.
Nema-li vase VPN zadnou chybu v implementaci, potazmo vyuzivanych knihovnach, a ani v nastaveni, tak je samozrejme MITM temer vyloucen. Na druhou stranu, az na nekolik malo pripadu, kdy ma SSL VPN smysl, bych se tomuto vydobytku radeji vyhnul.