openvpn mitm

Настройка сетевых служб, маршрутизации, фаерволлов. Проблемы с сетевым оборудованием.
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
icb
лейтенант
Сообщения: 751
Зарегистрирован: 2008-07-15 16:11:11

openvpn mitm

Непрочитанное сообщение icb » 2016-09-06 11:44:11

В логе openvpn пишет

Код: Выделить всё

Tue Sep 06 11:27:29 2016 WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.
Но я не могу понять, как вообще возможен mitm?
Что именно может заменить человек-по-середине чтобы он смог перехватить мой трафик?
Не может ведь злоумышленник получить закрытый ключ сервера и сделать себе сертификат.

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
xM
ст. лейтенант
Сообщения: 1316
Зарегистрирован: 2009-01-15 23:57:41
Откуда: Königsberg
Контактная информация:

openvpn mitm

Непрочитанное сообщение xM » 2016-10-11 23:52:07

icb писал(а): Не может ведь злоумышленник получить закрытый ключ сервера и сделать себе сертификат.
Можно ключ промежуточного получить или корневого, например.
https://dxdt.ru/2016/09/21/8094/
IT voodoo blog https://kostikov.co

lazhu
сержант
Сообщения: 254
Зарегистрирован: 2013-08-10 14:28:38
Контактная информация:

openvpn mitm

Непрочитанное сообщение lazhu » 2016-10-13 11:55:00

Если не разбрасывать где ни попадя свой CA, никакой митм невозможен. А warning сообщает, что не установлен метод проверки сертов. x509-verify к примеру.