DynFi Manager and Firewall Forums

Bonjour à tous,

J'aurai une question concernant OpenVPN, je rencontre l'erreur suivante (voir ci-joint). Cela n'a aucun impact sur l'exploitation de mon serveur OpenVPN et mes utilisateurs nomades arrivent bien à établir le tunnel entre leur poste et le pare-feu. Cependant, je voudrais savoir si le fait d'utiliser l'algorithme de chiffrement AES-256-CBC (un standard encore très utilisé et robuste) serait en cause.
La configuration est assez classique, en ce qui concerne les paramètres de cryptographie :
- Authentification TLS : Activé : Authentification et cryptage
- Algorithme de chiffrement : AES-256-CBC
- Algorithme Auth Digest : SHA256
- Profondeur du Certificat : Un (client + serveur)

Cette option "cipher" est celle par défaut lorsque j'exporte le certificat client. Dois-je modifier quelque chose dans la configuration du serveur ou est ce du à une certaine version lors l'implémentation de OpenVPN au sein de Dynfi Firewall ?

Merci par avance

Ce message indique que dans la configuration d'OpenVPN, l'option -cipher a été définie sur AES-256-CBC, mais cette valeur n'est pas présente dans l'option -data-ciphers, qui est configurée pour utiliser AES-256-GCM:AES-128-GCM:CHACHA20-POLY1305. En d'autres termes, même si AES-256-CBC a été spécifié comme algorithme de chiffrement, il n'est pas inclus dans la liste des algorithmes de chiffrement pour la négociation de la session de données, ce qui signifie qu'OpenVPN ne l'utilisera pas pour la négociation du chiffrement des données.

OpenVPN a évolué pour favoriser une approche plus moderne et sécurisée de la négociation des algorithmes de chiffrement, s'éloignant des options de configuration statiques au profit de méthodes de négociation dynamiques. L'option -data-ciphers permet de spécifier une liste d'algorithmes de chiffrement que les parties peuvent utiliser pour négocier le chiffrement des données. Les algorithmes listés (AES-256-GCM, AES-128-GCM, CHACHA20-POLY1305) sont considérés comme plus sûrs et performants que AES-256-CBC, car ils offrent à la fois un chiffrement et une authentification des données, améliorant ainsi la sécurité et l'efficacité.

Le message indique également que l'option -cipher est dépréciée dans ce contexte et qu'OpenVPN l'ignore pour les négociations de chiffrement. Cela signifie que la configuration doit être mise à jour pour utiliser -data-ciphers afin de spécifier les algorithmes de chiffrement souhaités pour les sessions de données, assurant ainsi une configuration conforme aux meilleures pratiques de sécurité recommandées par OpenVPN.

La façon dont les algos sont négociés sera révisée lors de la prochaine version de DynFi Firewall.