OpenVPN, Letsencrypt, Windows.

[Marco Gaiarin]

Mi sono infliato in un bel guaio. ,-)


Pensando di fare una gallata, e testandola con Linux, sto usando per una
rete remota OpenVPN con dei certficarti letsencrypt; su linux basta che
metta il certificate bundle (/etc/ssl/certs/ca-certificates.crt) come CA e
sono a posto.
Con Android, allo stesso modo verifica il certificato tra quelli trusted
installati e gestiti.


Ma su windows devo passargli la CA. Ed è vero che posso prenderla da:

https://letsencrypt.org/certificates/

ma se cambia mi fotto tutti i client, dovrei mettere in peidi un meccanismo
per verficare quando cambia la CA e ripropagarla (ma sono client remoti,
potrebbe essere tropo tardi).


Ho dato una occhata alla documentazione, sicuramente windows ha nel suo
'ceriticate store' i ceritifcati dela CA di Letsencypt ma... come faccio a
dirgli di cercarselo li?!


Spero di essermi spiegato, grazie.

--
La CIA ha scoperto chi porta il carbonchio... la befanchia!!!

[Marco]

On Sat, 3 Feb 2024 13:36:45 +0100, Marco Gaiarin <ga...@lilliput.linux.it>
wrote:

> ma se cambia mi fotto tutti i client,

Perché? Se il client conosce la CA che ha firmato il certificato, si fiderà
di essa anche tra 20 anni (sempre che il certificato non sia scaduto,
ovviamente).
In altre parole: basta dare la CA esplicitamente al client nella sua
configurazione.

> dovrei mettere in peidi un meccanismo per verficare quando cambia la CA e
> ripropagarla (ma sono client remoti, potrebbe essere tropo tardi).
>
>
> Ho dato una occhata alla documentazione, sicuramente windows ha nel suo
> 'ceriticate store' i ceritifcati dela CA di Letsencypt ma... come faccio a
> dirgli di cercarselo li?!

Secondo me è un falso problema, comunque non si può [1].
Puoi ovviamente "embeddare" il certficato nella configurazione usando
<ca>...</ca> [2].

1. https://forums.openvpn.net/viewtopic.php?t=30169
2.
https://www.brainfart.sg/index.php/2012/05/embedding-certificate-into-openvpn-config/

--
Ciò che si vede, è.

[Marco Gaiarin]

Mandi! Marco
In chel di` si favelave...

> Perché? Se il client conosce la CA che ha firmato il certificato, si fiderà
> di essa anche tra 20 anni (sempre che il certificato non sia scaduto,
> ovviamente).

Appunto. Quando scade il certificato della CA, io perdo tutto in un colpo. E
se il client è in giro, l'ho perso definitivamente.

> Secondo me è un falso problema, comunque non si può [1].

Bah. Ogni sistema operativo moderno ha un elenco certificati 'standard'
interno che viene dato per buono by default, ed è gestito dall'OS.
Che OpenVPN non sappia usarlo non mi pare un falso problema...

> Puoi ovviamente "embeddare" il certficato nella configurazione usando
> <ca>...</ca> [2].

Il problema non è distribuire la CA, il problema è distribuire una CA su cui
non ho alcun controllo e che potrebbe potenzialmnete cambiare...

--
Ci sono 3 professori di statistica che vanno a caccia di lepri.
ad un tratto ne vedono una. il primo spara... un metro a destra.
il secondo spara... un metro a sinistra.
il terzo esclama: "l'abbiamo presa". (Gino)

[Marco]

On Sat, 3 Feb 2024 15:56:50 +0100, Marco Gaiarin
<marc...@intoglimiwind.it> wrote:

> Mandi! Marco

>
> > Perché? Se il client conosce la CA che ha firmato il certificato, si
> > fiderà di essa anche tra 20 anni (sempre che il certificato non sia
> > scaduto, ovviamente).
>
> Appunto. Quando scade il certificato della CA, io perdo tutto in un
> colpo. E se il client è in giro, l'ho perso definitivamente.

Sì ma non è che la CA scade senza preavviso. I certificati sono pubblici
e puoi vedere tu stesso quando scade e decidere se distribuirlo o no.
Il problema che vedo è che anche se le root X1 e X2 di LE scadono avanti
(2035 e 2040 rispettivmente), i certificati di LE usano delle CA intermedie
che hanno scadenza ravvicinata (eg R3 o E1), quindi anche dandoli
staticamente ai client dopo quelle date non funzioneranno più.

Se hai già dato in giro quella chain a molti client, onestamente non so
come rimediare, se non aggiornando le configurazioni una a una (ma vedi
punto seguente).

> > Secondo me è un falso problema, comunque non si può [1].
>
> Bah. Ogni sistema operativo moderno ha un elenco certificati 'standard'
> interno che viene dato per buono by default, ed è gestito dall'OS.
> Che OpenVPN non sappia usarlo non mi pare un falso problema...

Ok, ammettiamo che OpenVPN sapesse usarlo: dovresti COMUNQUE andare client
per client a cambiare la configurazione per farglielo usare. Ma se devi
andare client per client a cambiargli la configurazione, tanto vale
approfittarne e mandargli una CA tua con scadenza lontana nel futuro, no?

> > Puoi ovviamente "embeddare" il certficato nella configurazione usando
> > <ca>...</ca> [2].
>
> Il problema non è distribuire la CA, il problema è distribuire una CA su
> cui non ho alcun controllo e che potrebbe potenzialmnete cambiare...

Non è che "potrebbe", alla scadenza SICURAMENTE cambierà (ogni altro
cambiamento o revoca a te non importa se i client hanno la loro copia della
chain).

[sm]

Il Sat, 3 Feb 2024 13:36:45 +0100, Marco Gaiarin ha scritto:

> Mi sono infliato in un bel guaio. ,-)
>
>
> Pensando di fare una gallata, e testandola con Linux, sto usando per una
> rete remota OpenVPN con dei certficarti letsencrypt;

Ovvero i certificati server sono generati con letsencrypt? Scusa la
domanda perché è una cosa che non ho mai esplorato.

[sm]

Il Sat, 3 Feb 2024 14:40:35 +0100, Marco ha scritto:


>> ma se cambia mi fotto tutti i client,
>
> Perché? Se il client conosce la CA che ha firmato il certificato, si
> fiderà di essa anche tra 20 anni (sempre che il certificato non sia
> scaduto,
> ovviamente).

Uhm, no. Nel senso, i certificati letsencypt si rinnovano ogni tre mesi e
anche i certificati delle CA non sono eterni. In linea teorica ad ogni
rinnovo andrebbe tirato giù la CA.
Poi ovviamente va verificato non sia un falso problema.

[Ivo Gandolfo]

-------- Original Message --------
From: Marco <nonu...@questo.invalid>
Date: sab, feb 3 2024 04:18:31PM GMT+00:00
Subject: OpenVPN, Letsencrypt, Windows.

>
> Non è che "potrebbe", alla scadenza SICURAMENTE cambierà (ogni altro
> cambiamento o revoca a te non importa se i client hanno la loro copia della
> chain).
>

Scusa, te la butto lì, ma farti uno script .bat dei poverelli, che viene
lanciato tramite config da Openvpn (pre-load?), che con un wget o curl
per windows si scarica tutti i file necessari? non ci avevi pensato? E
se non ricordo male (è da un pò che non uso ovpn) mi sembra che con un
flag ti dica nei log che il certificato è scaduto, ma vada avanti comunque.



Saluti

--
Ivo Gandolfo

[Marco]

On Mon, 5 Feb 2024 08:46:57 +0100, Ivo Gandolfo <use...@bofh.team> wrote:

> Scusa, te la butto lì, ma farti uno script .bat dei poverelli, che viene
> lanciato tramite config da Openvpn (pre-load?), che con un wget o curl
> per windows si scarica tutti i file necessari? non ci avevi pensato? E
> se non ricordo male (è da un pò che non uso ovpn) mi sembra che con un
> flag ti dica nei log che il certificato è scaduto, ma vada avanti
> comunque.

Questa in effetti non è una cattiva idea, in mancanza di alternative.

[sm]

Il Sat, 3 Feb 2024 15:56:50 +0100, Marco Gaiarin ha scritto:


>> Puoi ovviamente "embeddare" il certficato nella configurazione usando
>> <ca>...</ca> [2].
>
> Il problema non è distribuire la CA, il problema è distribuire una CA su
> cui non ho alcun controllo e che potrebbe potenzialmnete cambiare...

Diciamo però che la scadenza del certificato CA è una cosa che puoi
conoscere con largo anticipo.

Sinceramente però credo ti stia facendo un problema che non esiste: i
certificati della CA di LetsEncrypt sono già in "pancia" ai sistemi
altrimenti i browser non considererebbero i loro certificati trusted e se
cambiassero senza preavviso verrebbe fuori un bel casino.
I certificati LetsEncrypt hanno come root CA ISRG e andando a vedere:

openssl x509 -text -noout -verify -in /etc/ssl/certs/ISRG_Root_X1.pem

Issuer: C = US, O = Internet Security Research Group, CN = ISRG Root X1
Validity
Not Before: Jun 4 11:04:38 2015 GMT
Not After : Jun 4 11:04:38 2035 GMT

[Marco Gaiarin]

Mandi! Marco
In chel di` si favelave...

> Sì ma non è che la CA scade senza preavviso. I certificati sono pubblici
> e puoi vedere tu stesso quando scade e decidere se distribuirlo o no.

Oh si, certo... ma dovrei mettermi in piedi un sistema di verifica e
segnalazione...

> Ok, ammettiamo che OpenVPN sapesse usarlo: dovresti COMUNQUE andare client
> per client a cambiare la configurazione per farglielo usare. Ma se devi

Uso WPKG per questo. Il problema non è la gestione 'day to day', il problema
è avere un client in giro per il mondo, scade il certificato, me lo sono
giocato. ;-(

--
Dicono che la mafia ricicla i soldi sporchi in titoli di Stato. Ma è
naturale: volete che la mafia affidi i suoi soldi a gente sconosciuta?
(Beppe Grillo)

[Marco Gaiarin]

Mandi! sm

In chel di` si favelave...

> Ovvero i certificati server sono generati con letsencrypt? Scusa la
> domanda perché è una cosa che non ho mai esplorato.

Si. Basta solo aggiungere uno 'hook script' che dia un restart a openvpn
quando cambia il certificato.

--
Worrying about case in a Windows (AD) context is one of the quickest paths to
insanity. (Patrick Goetz)

[Marco Gaiarin]

Mandi! Ivo Gandolfo

In chel di` si favelave...

> Scusa, te la butto lì, ma farti uno script .bat dei poverelli, che viene
> lanciato tramite config da Openvpn (pre-load?), che con un wget o curl
> per windows si scarica tutti i file necessari? non ci avevi pensato? E
> se non ricordo male (è da un pò che non uso ovpn) mi sembra che con un
> flag ti dica nei log che il certificato è scaduto, ma vada avanti comunque.

Interessante... dubito che un semplice 'bat' possa bastare, e mi chiedo
perchè sono il primo uomo sulla terra che si pone un problema del genere
ma... interessante...

--
...coraggio liberisti, buttate giu' le carte
tanto ci sara` sempre chi paghera` le spese
in questo benedetto assurdo bel paese. (F. Guccini)

[Marco Gaiarin]

Mandi! Marco

In chel di` si favelave...

> Secondo me è un falso problema, comunque non si può [1].
> Puoi ovviamente "embeddare" il certficato nella configurazione usando

Per la cronaca, siccome in openvpn è necessario utilizzare 'fullchain.pem'
che contiene certificato e intermedio, per validare i certificati è
sufficiente distribuire la CA 'root'
(https://letsencrypt.org/certificates/#root-certificates), che
effettivamente cambia raramente.

--
Chiedere a Gates come sviluppare le nuove tecnologie in Italia è come farsi
spiegare da Berlusconi come promuovere il pluralismo dell'informazione.
La risposta è semplice: «ghe pensi mi!» (Pietro Folena)

[Enrico Bianchi]

On 2024-02-03, Marco Gaiarin <ga...@lilliput.linux.it> wrote:

> Pensando di fare una gallata, e testandola con Linux, sto usando per una
> rete remota OpenVPN con dei certficarti letsencrypt;

Scusa, ma perché non hai usato una tua CA? Che su OpenVPN ci sta sempre bene?

Enrico

[Marco Gaiarin]

Mandi! Enrico Bianchi

In chel di` si favelave...

> Scusa, ma perché non hai usato una tua CA? Che su OpenVPN ci sta sempre bene?

...perchè su Android caricare le CA è un casino. ;-)

--
Tutti parlano di pace ma nessuno educa alla pace. A questo mondo, si educa per la
competizione, e la competizione è l'inizio di ogni guerra. Quando si educherà
per la cooperazione e per offrirci l'un l'altro solidarietà, quel giorno si
starà educando per la pace. (Maria Montessori)

[sm]

Il Tue, 20 Feb 2024 22:40:08 +0100, Marco Gaiarin ha scritto:

> Mandi! Enrico Bianchi
> In chel di` si favelave...
>
>> Scusa, ma perché non hai usato una tua CA? Che su OpenVPN ci sta sempre
>> bene?
>
> ...perchè su Android caricare le CA è un casino. ;-)

Ma il client di OpenVPN non richiede il certificato CA sia installato a
sistema. Può essere distribuito insieme alla configurazione e al
certificato server. È normale fare così.

[Marco Gaiarin]

Mandi! sm

In chel di` si favelave...

>> ...perchè su Android caricare le CA è un casino. ;-)
> Ma il client di OpenVPN non richiede il certificato CA sia installato a
> sistema. Può essere distribuito insieme alla configurazione e al
> certificato server. È normale fare così.

mmmmhhh... so che avevo provato e non avevo cavato un ragno dal buco. Ma
forse hai ragione e non ho provato un .ovpn con la CA integrata...

--
STOP. I wanna go home
take off this uniform and leave the show (Pink Floyd)

[sm]

Il Wed, 21 Feb 2024 22:40:54 +0100, Marco Gaiarin ha scritto:

> Mandi! sm
> In chel di` si favelave...
>
>>> ...perchè su Android caricare le CA è un casino. ;-)
>> Ma il client di OpenVPN non richiede il certificato CA sia installato a
>> sistema. Può essere distribuito insieme alla configurazione e al
>> certificato server. È normale fare così.
>
> mmmmhhh... so che avevo provato e non avevo cavato un ragno dal buco. Ma
> forse hai ragione e non ho provato un .ovpn con la CA integrata...

Ne sono ragionevolmente sicuro. Io utilizzo come altri millemila al mondo
easy-rsa per emettere i certificati sia server che client, la CA è interna
e non c'è alcun bisogno di caricarla sui client.

[Marco Gaiarin]

Mandi! sm
In chel di` si favelave...

> Ne sono ragionevolmente sicuro. Io utilizzo come altri millemila al mondo
> easy-rsa per emettere i certificati sia server che client, la CA è interna
> e non c'è alcun bisogno di caricarla sui client.

Grazie delle info!