OpenVPNサーバー上の自己署名SSL証明書に対するリスク
私は、vpn.myOrgnization.comを指すDNSレコードを使用して、組織のAWSにOpenVPNサーバーを構築しています。
サイドノート:最近、すべてのSSL証明書を新しい(無料の)ACM(Amazon Certificate Manager)に移行しましたが、ACMはAmazonのエラスティックロードバランサーとCloudFrontのみをサポートしているため、これをOpenVPNサーバーにインストールできません(つまり、I OpenVPNサーバーに直接証明書をインストールすることはできません)。
私の質問は、OpenVPNサーバーで自己署名証明書を保持するリスクは何ですか? 管理 OpenVPNサーバーの場合、リスクは単にMitMの可能性ですか?また、ユーザーがvpn.myOrganization.comドメインに移動すると、MitMがOpenVPNサーバーになりすましてVPN資格情報を盗む可能性があると想定しています。しかし、OpenVPNクライアントが適切な認証で構成されたら、将来のリスクはありますか?クライアントが接続するたびに、構成済みのVPN接続をMitMすることはできますか?私の理解は違います。 OpenVPNプロトコルは、サーバーへの自己署名SSL証明書に依存していませんが、OpenVPNプロトコルの専門家ではありません。
ご意見やご提案をいただければ幸いです。私たちはおそらく、無料のAmazon Certificate Managerだけに頼るのではなく、ドメインのワイルドカード証明書を購入するだけですが、私はこのリスクが何であるかについても好奇心を持ちました(とにかく証明書でそれを軽減する予定です)。
考えてくれてありがとう。
組織でOpenVPNを使用している場合は、OpenVPNのパブリック証明書を使用せずに、独自のCAを作成し、このCAによって発行された証明書のみを受け入れることをお勧めします。これは実際には OpenVPN Howto で提案されている方法です。このようにして、証明書を完全に制御し、パブリックCAの一部が危険にさらされ、自分の名前で証明書を発行した場合でも、OpenVPNエンドポイントはどれも受け入れません。これは、自分のCAが発行した証明書のみが受け入れられるためです。
それとは別に:自己署名証明書を使用しても、VPNやHTTPSではなく、それ自体でリスクを課すことはありません。リスクは、証明書が完全に検証されていない場合のみです。自己署名証明書は、安全なチャネル(電話や印刷物など)経由で受信した指紋などの追加情報がないと検証できません。そのため、検証が非常に難しいため、検証を完全にスキップするのが一般的です。したがって、自己署名の使用はリスクではありませんが、適切に検証されていないことがリスクです。
私の頭の上では、誰かがVPNサーバーを模倣して、ユーザーの資格情報を受け入れることを心配する必要があります。 VPNクライアントは、証明書を検証できないという警告を出しますか?その場合は、信頼できるマシンに証明書をインストールして、警告を受け取らないようにすることをお勧めします。次に、証明書エラーが表示された場合は問題/セキュリティリスクがあり、ログインに進まないことをユーザーに伝えます。