- Status À investiguer
- Percent Complete
- Task Type Anomalie
- Category Services locaux → Serveur VPN
-
Assigned To
mbizon - Operating System Tous
- Severity Medium
- Priority Very Low
- Reported Version 3.5.2
- Due in Version Undecided
-
Due Date
Undecided
-
Votes
1
- Raptor039 (12/12/2018)
- Private
Opened by TheGreenBowVPN - 02/07/2018
Last edited by mbizon - 04/09/2020
FS#22745 - Serveur OpenVPN: génération des certificats serveur et serveur CA
Bonjour,
Je viens de recréer la configuration serveur OpenVPN d’une Freebox Revolution.
En utilisant le client VPN TheGreenBow, je constate que les 2 certificats serveur et serveur CA sont bien différents, mais ils utilisent la même clef publique.
Ils ont aussi la même valeur pour le champ “Subject key identifier”.
Est-ce volontaire ? ou est-ce une erreur, ou mauvaise manip de ma part ?
Si c’est volontaire, ce n’est pas conforme. D’après la RFC 5280 paragraphe 4.2.1.2, le champ “Subject key identifier” est bien censé être unique pour chaque certificat, et il est effectivement calculé à partir du champ “subjectPublicKey”.
Je peux faire d’autres manips, ou donner plus d’information si besoin.
Avec mon ancienne configuration Serveur OpenVpn de la Freebox je n’avais pas constaté ce problème. Un utilisateur Freebox 4k + Client TheGreenBox nous a remonté aussi ce problème, que j’arrive donc maintenant à reproduire.
Merci,
Frederic Gloannec
TheGreenBow VPN.
Loading...
Available keyboard shortcuts
- Alt + ⇧ Shift + l Login Dialog / Logout
- Alt + ⇧ Shift + a Add new task
- Alt + ⇧ Shift + m My searches
- Alt + ⇧ Shift + t focus taskid search
Tasklist
- o open selected task
- j move cursor down
- k move cursor up
Task Details
- n Next task
- p Previous task
- Alt + ⇧ Shift + e ↵ Enter Edit this task
- Alt + ⇧ Shift + w watch task
- Alt + ⇧ Shift + y Close Task
Task Editing
- Alt + ⇧ Shift + s save task
Je constate la même chose, mais sachant que c'est la même clé qui est utilisée pour le CA et le serveur, le comportement actuel est plus logique. On a changé la version d'openssl donc c'est peut être la raison pour laquelle c'est maintenant identique.
Quant à la conformité, je rajoute un bémol, seul le cert CA a la "basic constraint CA" à true, donc si vous utilisez le SKI pour créer le path de validation, le cert serveur ne devrait pas être présent dans la chaîne et donc rentrer en collision avec la CA.
Bonjour,
Merci pour votre réponse.
Normalement OpenSSL offre juste un ensemble de commandes qui permettent la création des certificats, mais ne doit pas imposer que les clef publiques de 2 certificats différents soient les mêmes.
Dans le cas de la Freebox, comme le certificat serveur CA ne sert que pour le certificat serveur d'une Freebox en particulier, un risque de sécurité est sans doute faible.
Dans le cas où un certificat CA sert à générer de multiples certificats (pour les users et/ou les passerelles) alors c'est un peu gênant si l'un des certificats se retrouve avec la même clef publique que son propre CA.
Est-ce que ce fonctionnement de la Freebox sur la génération des certificats sera revu dans une prochaine version ?
Merci,
Frédéric Gloannec
TheGreenBow VPN.
Il serait judicieux de changer le comportement actuel afin de corriger le problème.
Du neuf en 4.2.3 ?
@mbizon, ça devrait évoluer avec ça non ?
OpenVPN 2.5.0 (2020-10-27) :
- https://openvpn.net/
- https://github.com/OpenVPN/openvpn/releases
Email d'annonce de la sortie d'OpenVPN 2.5.0 :
- https://sourceforge.net/p/openvpn/mailman/message/37138737/
OpenVPN 2.5 is a new major release with many new features:
- Client-specific tls-crypt keys (–tls-crypt-v2)
- Added support for using the ChaCha20-Poly1305 cipher in the OpenVPN data channel
- Improved Data channel cipher negotiation
- Removal of BF-CBC support in default configuration
- Asynchronous (deferred) authentication support for auth-pam plugin
- Deferred client-connect
- Faster connection setup
- Netlink support
- Wintun support
- IPv6-only operation
- Improved Windows 10 detection
- Linux VRF support
- TLS 1.3 support
- Support setting DHCP search domain
- Handle setting of tun/tap interface MTU on Windows
- HMAC based auth-token support
- VLAN support
- Support building of .msi installers for Windows
- Allow unicode search string in –cryptoapicert option (Windows)
- Support IPv4 configs with /31 netmasks now
- New option –block-ipv6 to reject all IPv6 packets (ICMPv6)
- MSI installer (Windows)
- The MSI installer now bundles EasyRSA 3, a modern take on OpenVPN CA management
Overview of changes in OpenVPN v2.5:
- https://community.openvpn.net/openvpn/wiki/ChangesInOpenvpn25
Rappel pour la 2.4.x (il manque toujours des options dans Freebox OS) :
Overview of changes in OpenVPN v2.4:
- https://community.openvpn.net/openvpn/wiki/ChangesInOpenvpn24
OpenVPN 2.5.1 (2021-02-24) :
- https://openvpn.net/
- https://github.com/OpenVPN/openvpn/releases
- https://sourceforge.net/p/openvpn/mailman/message/37226597/
Freebox OS 4.3.1 a OpenVPN 2.5.0, est-ce qu'il y a une amélioration ?
Thank you very much. You did an excellent job. I enjoyed reading your blog. Slope Unblocked is an entertaining game that puts your reflexes and reactions to the test.