SSL-Fernzugriff "Authentifizierungsalgorithmus"

Hallo Ludo,

Die bestehenden/bereits ausgerollten Verbindungen funktionieren dann nicht mehr.

Die .ovpn Config-Datei muss an alle clients neu verteilt werden.

Wäre es denn zu empfehlen den Authentifizierungsalgorithmus und die Schlüssellänge zu ändern (auf SHA-1 und 2048)?

Ich würde auch kein SHA1 mehr einsetzen.

Der Sophos-Client kommt mit allem angebotenen klar.

Sonst: ja, aktualisieren, auch wenn es einiges an Arbeit und Planung bedeutet. Ein Mischbetrieb neu/alt ist leider nicht möglich. Also keine "Übergangszeit"

Was würdest du dann anstatt SHA-1 nutzen? Und welche Schlüssellänge?

Ja, Mischbetrieb ist leider nicht möglich :-(

Ich verwende aktuell AES128-cbc / SHA2-256 / 2048Bit ein. Die key-Lifetime von 28800 setze ich hoch, da bei 2FA sonst nach 8 Stunden (weniger als ein Arbeitstag) neu angemeldet werden muss.

Bei gering belasteten Systemen/wenigen gleichzeitigen Verbindungen haben wir auch höhere Werte  (AES128 / SHA2-512 / 4069)

... das "hält" wahrscheinlich länger und man spart sich eine Weile weitere Anpassungen.

Ich verwende aktuell AES128-cbc / SHA2-256 / 2048Bit ein. Die key-Lifetime von 28800 setze ich hoch, da bei 2FA sonst nach 8 Stunden (weniger als ein Arbeitstag) neu angemeldet werden muss.

Bei gering belasteten Systemen/wenigen gleichzeitigen Verbindungen haben wir auch höhere Werte  (AES128 / SHA2-512 / 4069)

... das "hält" wahrscheinlich länger und man spart sich eine Weile weitere Anpassungen.

Was bedeutet für dich "gering belastet"? Wir haben wenn`s hoch kommt 10 SSL-User zeitgleich - im Ausnahmefall viell. auch mal 15... Der Ø wird eher bei 7-8 Usern zeitgleich liegen....

10 Verbindungen sollten kein Problem darstellen ... denke ich.

Was für ein Gerät hast du?

SG230 im Aktiv-Passiv-Cluster

Mit der sind auch bei hohen Einstellungen bei 10-20 VPN-Usern noch keine Engpässe zu erwarten..

Erstmal vielen Dank für deine hilfreichen Kommentare. Da ich nun aber eh Hand anlegen muss bin ich am überlegen, ob ich nicht von SSL auf IPsec switche. IPsec soll ja nochmals performanter sein?!

Das ist sicher einen Versuch wert.

https://support.sophos.com/support/s/article/KB-000038819?language=en_US

Ui, ob das der Aufwand bei meinen paar Usern wert ist?! Habe ich mit IPSec einen elementaren Vorteil (außer dass ich Mischbetrieb fahren könnte)?

Ich bleibe derzeit bei OVPN. Das kann der Connect-Client erfreulicherweise ja auch.

Dann mach ich das auch und passe nur die besagten Werte an und mache einen neuen Rollout....