¿Un certificado SHA-1 autofirmado es suficiente seguridad para que una empresa transmita datos confidenciales?

1

Recientemente decidimos pagarle a un ISP (una suma importante, mente) por un servicio de Internet administrado hasta e incluyendo el enrutador en nuestra oficina central.

Parte de las discusiones iniciales dejó en claro que cualquier solución que el ISP pensara que era la mejor tenía para incluir una VPN, ya que varios miembros del personal están mucho en la carretera, cafeterías y trenes, y como.

El ISP entregó una solución VPN en forma de Cisco AnyConnect que sigue mostrando advertencias de seguridad ya que el certificado es autofirmado. El certificado también es SHA-1.

1) Mi pregunta principal es esta. ¿Es esta seguridad adecuada para una solución pagada?

2) Mi segunda pregunta (aunque puede estar fuera de lugar en esta área de SE) es la siguiente. ¿Es razonable suponer que el ISP proporcionaría un certificado de solución adecuado dado que la naturaleza sensible de los datos que transmitimos les fue divulgada?

    
pregunta Prinsig 13.03.2015 - 11:55
fuente

1 respuesta

3

El uso de SHA-1 es irrelevante aquí.

El problema con un certificado autofirmado es que no hay forma de que nadie pueda verificar si el certificado es el correcto o no; esto es exactamente lo que significan las advertencias del cliente. Cuando un miembro de su personal ve la advertencia y hace clic para conectarse, el usuario podría conectarse a un servidor VPN falso, ejecutado por un atacante, quien podría reenviar los datos al servidor real pero también inspeccionarlos. va: un ataque Man-in-the-Middle clásico .

Incluso se puede decir que con el certificado autofirmado, está capacitando a su personal para que ignore los mensajes de advertencia, por lo que, en general, ha reducido su seguridad.

Una forma de solucionar el problema es instalar el certificado VPN como "de confianza", explícitamente, en cada máquina cliente. Esto significa que le indica a la máquina cliente que acepte el certificado exacto como el correcto. La documentación de Cisco debería indicarle cómo hacerlo.

Otro método es hacer que el ISP compre e instale un certificado obtenido de una de las "CA comerciales" en las que ya confían las máquinas existentes; Este es el mismo tipo de certificado que necesita para un sitio web https:// que no insulte a sus usuarios. Esto se conoce tradicionalmente como un "certificado SSL" y puede tener uno por unos pocos dólares al año (incluso gratis con algunos CA).

    
respondido por el Thomas Pornin 13.03.2015 - 12:33
fuente

Lea otras preguntas en las etiquetas