Explain what to expect with TLS 1.3
This commit is contained in:
parent
4686a225c3
commit
47ef1a7497
|
@ -1081,10 +1081,17 @@ Es lohnt sich jederzeit, die Aktualisierung und Weiterentwicklung eines Dienstes
|
||||||
Als Motivation dafür seien mögliche Gewinne in den Punkten IT-Sicherheit, Effizienz, Benutzerfreundlichkeit oder schlicht ein reduzierter Aufwand bei Wartung und Pflege des Dienstes genannt.
|
Als Motivation dafür seien mögliche Gewinne in den Punkten IT-Sicherheit, Effizienz, Benutzerfreundlichkeit oder schlicht ein reduzierter Aufwand bei Wartung und Pflege des Dienstes genannt.
|
||||||
|
|
||||||
\paragraph{Aktualisierung der kryptografischen Parameter}
|
\paragraph{Aktualisierung der kryptografischen Parameter}
|
||||||
\todo{Erweiterbarkeit/Weiterentwicklung/Patchen wenn Kryptografie nicht mehr sicher ist: Wie geht das und welche Schritte sind notwendig?}
|
Sollten die in dieser Arbeit gewählten, kryptografischen Parameter nicht mehr als sicher gelten, so sollen alle Parameter nach aktuellem Stand der Technik neu gewählt werden.
|
||||||
|
Dafür ist neben einer Anpassung der Serverkonfiguration auch die Anpassung sämtlicher Clientkonfiguration notwendig.
|
||||||
|
Dies kann beispielsweise über eine veröffentlichte Beispielkonfiguration angestoßen werden, und muss allen VPN-Benutzer mitgeteilt werden.
|
||||||
|
Die mit dieser Methode verbundenen Vor- und Nachteile wurden in Kapitel~\ref{sct:plan_openvpn_server} im Detail diskutiert.
|
||||||
|
|
||||||
\paragraph{Umstieg auf TLS~1.3}
|
\paragraph{Unterstützung von TLS~1.3}
|
||||||
\todo{Upgrade auf TLS~1.3 - welche Voraussetzungen bestehen und welche Schritte sind notwendig? \url{https://wiki.openssl.org/index.php/TLS1.3}}
|
Heute (04.11.2018) unterstützt OpenVPN in der aktuellen Version~2.4.6 TLS~1.3 noch nicht.
|
||||||
|
Laut einem Ticket im OpenVPN Issue-Tracker\footnote{Siehe \url{https://community.openvpn.net/openvpn/ticket/1080}} kann vermutet werden, dass OpenVPN ab Version~2.4.7 TLS~1.3 bereits unterstützen könnte.
|
||||||
|
Um TLS~1.3 benutzen zu können, müssen die auf dem VPN-Server installierten Pakete \texttt{openssl} und \texttt{openvpn} TLS~1.3 unterstützen - da diese aus Debian-Paketquellen installiert werden, ist denkbar, dass TLS~1.3 erst mit Debian~10 unterstützt werden könnte.
|
||||||
|
Besteht die Unterstützung für TLS~1.3 seitens des VPN-Servers, so können VPN-Clients die Verwendung von TLS~1.3 erproben, indem in der Clientkonfiguration der Parameter \texttt{tls-version-min} auf 1.3 gestellt wird.
|
||||||
|
Sobald hinreichende Unterstützung für TLS~1.3 für alle VPN-Clients besteht, kann die minimal erlaubte TLS-Version in die Serverkonfiguration auf TLS~1.3 gestellt werden, um alle VPN-Sitzungen nur über TLS~1.3 aufzubauen.
|
||||||
|
|
||||||
\paragraph{Nachfolger OpenVPN~3:}
|
\paragraph{Nachfolger OpenVPN~3:}
|
||||||
Während für diesen Dienst OpenVPN ab Version~2.4.0 zum Einsatz kommt, befindet sich mit OpenVPN~3\footnote{\url{https://github.com/OpenVPN/openvpn3}} ein Nachfolger in Entwicklung.
|
Während für diesen Dienst OpenVPN ab Version~2.4.0 zum Einsatz kommt, befindet sich mit OpenVPN~3\footnote{\url{https://github.com/OpenVPN/openvpn3}} ein Nachfolger in Entwicklung.
|
||||||
|
|
Loading…
Reference in New Issue