<div dir="ltr"><div>Just to follow-up to what Thomas said...<br><br>I worry about throwing OpenVPN away so quickly... It's used by *lots* of people and companies, and it's not going away anytime soon. I agree that until they have patches like <a href="https://community.openvpn.net/openvpn/ticket/301">https://community.openvpn.net/openvpn/ticket/301</a> landed that it's not going to be viably secure, but I worry about the complete lack of OpenVPN detail that people are going to either use the defaults or use random hardening guides that don't give the entire picture.<br><br></div><div>I think ACH should continue to mention OpenVPN with warnings about it being insecure until certain features/patches are added. Basically, provide the best possible 'secure' config with what it supports today and continue to evolve that over time as OpenVPN improves. Mention to people the specific things it lacks in order to be properly secure as per ACH standards so they know the risks they are taking by using it.<br></div><div><br></div><div>just my 2c,<br></div>~reed<br></div><div class="gmail_extra"><br><div class="gmail_quote">On Wed, Feb 18, 2015 at 11:11 AM, Thomas Preissler <span dir="ltr"><<a href="mailto:thomas@preissler.co.uk" target="_blank">thomas@preissler.co.uk</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div class="HOEnZb"><div class="h5">On Wed, Feb 18, 2015 at 07:48:21PM +0100, Aaron Zauner wrote:<br>
> Hi,<br>
><br>
> <a href="https://github.com/BetterCrypto/Applied-Crypto-Hardening/pull/91" target="_blank">https://github.com/BetterCrypto/Applied-Crypto-Hardening/pull/91</a><br>
><br>
> I've since removed (commented-out) the OpenVPN section in our document<br>
> in commit 7b6fd17814acdbb2304ca3e84e99b02fe919abe6.<br>
><br>
> If anybody is interested in maintaining and reviewing this, please speak<br>
> up. To the best of my knowledge OpenVPN is not suitable for our document<br>
> -- CBC-only support (not as a fallback) is a real threat to the<br>
> transport security. Hence I would not recommend using it myself and have<br>
> thus removed it from our document for the time being.<br>
<br>
</div></div>Considering that more and more people will use this document to<br>
'securely' configure their server, but an increasing number of those<br>
won't necessarily understand the implications why certain services are<br>
configured that way.<br>
<br>
For example, I read somewhere that quite a number of people just use<br>
certain 'recommendations' somewhere to configure their webserver, then<br>
go off to SSLlabs and when they get at least an A rating, they are<br>
happy - admitting they have no clue, what they have just reconfigured.<br>
<br>
I believe that this should go in there, as it is not secure. And you<br>
gave good reasons why it cannot be secure.<br>
In general, I think it is not a matter of configuring encryption<br>
securely, it is also about getting the message out that certain services<br>
are inherently insecure. How else would they stop using it when they<br>
don't know about it? You could also see this as a wakeup-call for<br>
developers, maybe to work more closely with cryptographers.<br>
You also have now a note on SHA-1 in it...<br>
<br>
Otherwise people will assume, OpenVPN default's are 'secure',<br>
configure it themselves with some random tutorial they found somewhere,<br>
or worse, use some exciting DES encryption - because that's what they<br>
remember.<br>
<br>
<br>
Kind Regards<br>
<span class="HOEnZb"><font color="#888888"><br>
Thomas<br>
<br>
--<br>
<a href="http://www.preissler.co.uk" target="_blank">www.preissler.co.uk</a> | Twitter: @module0x90 | PGP-Key: 75889415<br>
GPG Fingerprint:  CCBD 153A D257 CA7E A217  FDF7 5928 03D1 7588 9415<br>
_______________________________________________<br>
Ach mailing list<br>
<a href="mailto:Ach@lists.cert.at">Ach@lists.cert.at</a><br>
<a href="http://lists.cert.at/cgi-bin/mailman/listinfo/ach" target="_blank">http://lists.cert.at/cgi-bin/mailman/listinfo/ach</a><br>
</font></span></blockquote></div><br></div>