Poszukuję wyjaśnień, jak SSL-VPN korzysta z własnoręcznie podpisanych certyfikatów i mam dwa pytania. 1. Jak bezpieczne jest przesyłanie informacji logowania w celu pobrania klienta NetExtender przez internet? 2. Jak bezpieczne jest umieszczanie danych logowania w NetExtender z własnoręcznie podpisanym certyfikatem?
Zauważyłem na filmach, takich jak ten https://www.youtube.com/watch?v=sLBv8OXcqJ8 (czas: 3:31), że gdy aplikacja jest pobierana z urządzenia SonicWall przez internet, używając formatu https://IPaddress:4433, własnoręcznie podpisany certyfikat nie przechodzi. Czy nie stanowi to ryzyka przy podawaniu danych uwierzytelniających w tym momencie? Jakie jest ryzyko korzystania z NetExtender z nieprzechodzącym certyfikatem własnoręcznego podpisu?
Kryptografia ( poufność) własnoręcznie podpisanego certyfikatu jest równie dobra co certyfikat podpisany przez zaufane publiczne CA. Szyfrowanie jest solidne i nie można go złamać przy użyciu nowoczesnych narzędzi komputerowych. Przesyłanie danych logowania jest bezpieczne w większości przypadków. Dla lepszego bezpieczeństwa i spokoju ducha upewnij się, że korzystasz z MFA.
Własnoręcznie podpisany certyfikat nie zapewnia integralności źródła (z ,prawa odrzucenia).
Jednakże, jeśli podlegasz audytom PCI-DSS (lub podobnym), audytor prawdopodobnie odrzuci korzystanie z własnoręcznie podpisanego certyfikatu.
Możesz 1) uzyskać certyfikat od CA, 2) skonfigurować wewnętrzny CA w swojej domenie do podpisywania certyfikatów, lub 3) wymusić zaufanie do własnoręcznie podpisanego certyfikatu poprzez GPO, MDM, lub narzędzia RMM. Dzięki temu użytkownicy końcowi nie będą widzieć ostrzeżeń o certyfikacie i nie przyzwyczają się do akceptowania, że certyfikat jest nieufny.
Man in the middle jest łatwy do wykonania, jeśli użytkownicy końcowi zawsze otrzymują i klikanie ostrzeżeń o certyfikacie.
Własnoręcznie podpisane może być bezpieczne, ale można to zrobić bezpiecznie, korzystając z własnej infrastruktury PKI i dystrybuując klucze własnego CA do klientów, lub korzystając z niebezpiecznej wersji własnoręcznie podpisanego, w której nawet nie wiesz, że masz klucz CA. W najgorszych przypadkach certyfikat jest udostępniany we wszystkich instalacjach tego samego produktu.