Redes

OpenVPN Rebasado a Versión 2.4.3

OpenVPN ha sido subido a la versión 2.4.3. Esta actualización añade muchas mejoras, mejorado notablemente el soporte criptográfico de curva elíptica (ECDH), soporte para AES-GCM y capa de encriptación adicional del canal de control (la opción --tls-crypt) y un tipo de negociación de cifrado que permite mejorar gradualmente el cifrado de cliente a uno más fuerte sin añadir una complejidad significativa. Adicionalmente, ahora hay disponible una IP de cliente y un puerto, permitiendo a los clientes cambiar su dirección y IP o puerto sin tener que renegociar completamente un túnel establecido.

Para una lista completa de los cambios en esta versión, vea upstream changelog en GitHub.

Se ha mejorado la integración total con systemd y systemd puede administrar mejor los procesos OpenVPN. Esta actualización se envia con archivos de unidad systemd totalmente nuevos, que añaden un refuerzo de seguridad adicional. Se prefieren estos nuevos archivos de unidad sobre los antiguos ficheros openvpn@.service. Los mismos ficheros de unidad son usados por otras distribuciones Linux que usan systemd, asegurando un comportamiento y utilización más consistentes entre los diferentes sistemas basados en systemd. Vea para más información sobre este punto la documentación instalada en /usr/share/doc/openvpn/README.systemd.

Notas Adicionales

En otros cambios, la comprobación de la Lista de Revocación de Certificados (CRL) se hace ahora por las librerías SSL directamente. Estas librerías tienen una política de aceptación mucho más estríctas que el enfoque utilizado anteriormente en OpenVPN. Por ejemplo, si su fichero CRL ha expirado, esto tendrá un impacto sobre cada usuario sin tener en cuenta si sus certificados son revocados o no.

Adicionalmente, OpenVPN en Fedora 26 actualmente usa los paquetes de compatibilidad compat-openssl10 y compat-openssl10-pkcs11-helper que se consideran una solución alternativa hasta que se puedan realizar pruebas exhaustivas en OpenSSL 1.1, que se ha introducido en OpenVPN recientemente. En una actualización posterior se espera que el paquete OpenVPN sea actualizado para hacer uso de la nueva librería openssl-1.1.