OpenVPN startet nicht (ca md too weak)

Die folgende Lösung sollte nur ein kurzfristiger Workaround bleiben. Sicherer wäre es wenn auch der Serverteil aktualisiert und auf aktuelle Hashes und Cipher umgestellt wird!

Problem: OpenVPN Tunnel mag nicht starten. Im Log kommt folgende Meldung:

(OpenSSL: error:140AB18E:SSL routines:SSL_CTX_use_certificate:ca md too weak)

Neue OpenVPN Versionen haben veraltete Hashes und Ciphers deaktiviert. Es laufen aber noch ältere OpenVPN-Server zu denen man sich jetzt nicht mehr verbinden kann.

Die älteren Ciphers lassen sich mit einem Konfigurationsschalter wieder aktivieren.

Bei OpenVPN Configs direkt diese Zeile eintragen:

tls-cipher "DEFAULT:@SECLEVEL=0"

Bei Verbindungen mit dem NetworkManager kommt diese Zeile in den [vpn]-Teil:

tls-cipher=DEFAULT:@SECLEVEL=0

Danach muss der NetworkManager neu gestartet werden (Achtung, alle Verbindungen werden unterbrochen). Achtung: Die Zeile verschwindet auch wieder aus der Config wenn in der GUI Änderungen vorgenommen wurden.

SSH-Keys erzeugen und verwalten

Mit der SSH-Passphrase an KDE/Gnome anmelden

offending key aus known_hosts löschen

SFTP mit OpenSSH Boardmitteln

SSH als SocksProxy

SSH-Clientkonfiguration Multiplexing

SSH-Forwarding über SUDO behalten

SSH-Keys von OpenSSH nach SSH2 konvertieren und zurück

SSH-Tunnel

GPG / GnuPG / PGP Cheat-Sheet

PGP public key von Keyserver holen und exportieren

OpenSSL - TLS-/SSL-Zertifikate

Diffie-Hellman Parameterdatei Bitgröße ermitteln

(Zwischen-)Zertifikat Key und Zertifikatsrequest per Script auf Plausibilität prüfen

CAcert Root Zertifikat unter Debian/Ubuntu einbinden

Signatur-Algorithmen einer Zertifikatskette anzeigen

OpenVPN nach Hause

IPSec Roadwarrior-VPN via racoon

Tunnelüberwachung via Script

OpenVPN startet nicht (ca md too weak)

OpenVPN startet nicht (ca md too weak)

No Comments