diff --git a/MA-Inhalt.tex b/MA-Inhalt.tex index adc1b0f..b0b87c1 100644 --- a/MA-Inhalt.tex +++ b/MA-Inhalt.tex @@ -1081,10 +1081,17 @@ Es lohnt sich jederzeit, die Aktualisierung und Weiterentwicklung eines Dienstes Als Motivation dafür seien mögliche Gewinne in den Punkten IT-Sicherheit, Effizienz, Benutzerfreundlichkeit oder schlicht ein reduzierter Aufwand bei Wartung und Pflege des Dienstes genannt. \paragraph{Aktualisierung der kryptografischen Parameter} -\todo{Erweiterbarkeit/Weiterentwicklung/Patchen wenn Kryptografie nicht mehr sicher ist: Wie geht das und welche Schritte sind notwendig?} +Sollten die in dieser Arbeit gewählten, kryptografischen Parameter nicht mehr als sicher gelten, so sollen alle Parameter nach aktuellem Stand der Technik neu gewählt werden. +Dafür ist neben einer Anpassung der Serverkonfiguration auch die Anpassung sämtlicher Clientkonfiguration notwendig. +Dies kann beispielsweise über eine veröffentlichte Beispielkonfiguration angestoßen werden, und muss allen VPN-Benutzer mitgeteilt werden. +Die mit dieser Methode verbundenen Vor- und Nachteile wurden in Kapitel~\ref{sct:plan_openvpn_server} im Detail diskutiert. -\paragraph{Umstieg auf TLS~1.3} -\todo{Upgrade auf TLS~1.3 - welche Voraussetzungen bestehen und welche Schritte sind notwendig? \url{https://wiki.openssl.org/index.php/TLS1.3}} +\paragraph{Unterstützung von TLS~1.3} +Heute (04.11.2018) unterstützt OpenVPN in der aktuellen Version~2.4.6 TLS~1.3 noch nicht. +Laut einem Ticket im OpenVPN Issue-Tracker\footnote{Siehe \url{https://community.openvpn.net/openvpn/ticket/1080}} kann vermutet werden, dass OpenVPN ab Version~2.4.7 TLS~1.3 bereits unterstützen könnte. +Um TLS~1.3 benutzen zu können, müssen die auf dem VPN-Server installierten Pakete \texttt{openssl} und \texttt{openvpn} TLS~1.3 unterstützen - da diese aus Debian-Paketquellen installiert werden, ist denkbar, dass TLS~1.3 erst mit Debian~10 unterstützt werden könnte. +Besteht die Unterstützung für TLS~1.3 seitens des VPN-Servers, so können VPN-Clients die Verwendung von TLS~1.3 erproben, indem in der Clientkonfiguration der Parameter \texttt{tls-version-min} auf 1.3 gestellt wird. +Sobald hinreichende Unterstützung für TLS~1.3 für alle VPN-Clients besteht, kann die minimal erlaubte TLS-Version in die Serverkonfiguration auf TLS~1.3 gestellt werden, um alle VPN-Sitzungen nur über TLS~1.3 aufzubauen. \paragraph{Nachfolger OpenVPN~3:} Während für diesen Dienst OpenVPN ab Version~2.4.0 zum Einsatz kommt, befindet sich mit OpenVPN~3\footnote{\url{https://github.com/OpenVPN/openvpn3}} ein Nachfolger in Entwicklung.