Wanneer krijgt Goose veilige versie van OpenVPN?

This topic contains 3 replies, has 3 voices, and was last updated by Lorenzo Lorenzo 2 months, 1 week ago.

Wanneer krijgt Goose veilige versie van OpenVPN?

  •  
    Participant
    Dolde Grieze

    Hallo moderatoren van GooseVPN,

    Ik heb vorige maand via een service request aangegeven dat het OpenVPN protocol, dat door GooseVPN wordt gebruikt, verouderd is en een veiligheidsrisico is (Heartbleed Bug) voor deze toegepaste verbinding.
    Kunnen jullie aangeven wanneer het OpenVPN protocol geüpdatet wordt?

    Groet van D´olde

     
    Participant
    SmArthas

    Wow… dat is best ernstig. Ik weet dat Goose een standaard een IKEv2 verbinding op wil zetten, maar persoonlijk gaat mijn voorkeur ook uit naar OpenVPN. Ik heb even gekeken en de versie van de Windows client (1.0.1e uit 2013) staat inderdaad op de ‘vulnerable’ lijst. Je kunt handmatig de ‘openssl.exe’ vervangen door een nieuwere exe, maar ik heb te weinig verstand van de onderliggende techniek om te weten of dit afdoende werkt. Het opzetten van een OpenVPN verbinding via Goose werkt na een update namelijk nog wel gewoon. Wanneer ik op de website van OpenVPN kijk zie ik dit:
    1.Update your OpenSSL library
    2.Revoke your old private keys
    3. Generate new private keys
    4. Create certificates for the new private keys

    En dit kan (neem ik aan) alleen Goose zelf doen. Ik zie ook dat er de optie is om een oudere versie van de openssl.exe te compilen zonder de handshake (welke het lek veroorzaakt) mee te nemen, maar hoe kunnen wij controleren of dit ook daadwerkelijk gedaan is?

    Kan iemand van Goose hier wellicht een antwoord op geven?

     
    Participant
    Dolde Grieze

    Hallo Moderatoren van GooseVPN,

    Jullie kunnen wel in de zelf gemaakte aanbevelingen schrijven dat de helpdesk 24/7 bereikbaar is, maar een planning voor een adequate oplossing van dit probleem laat wel erg lang op zich wachten.
    Ik zal in ieder geval alle leden van de HCC via het blad PC-Active waarschuwen om de OpenVPN verbinding in GooseVPN niet te gebruiken, dus ook niet in de geïntegreerde router toepassing.
    Ik hoop nu echt (tegen beter weten in?) op een snelle reactie van Goose.

    Groet van D´olde

    Lorenzo 
    Moderator
    Lorenzo

    Beste,

    Hartelijk bedankt voor de berichten binnen deze topic.

    Nadat wij deze melding kregen hebben wij dit direct doorgegeven aan onze technische afdeling.
    Wij hebben dit nagekeken en hebben in onze laatste update op 26 februari onze OpenSSL naar 1.0.2l geüpdatet.

    Dit was inderdaad niet goed en duidelijk aangegeven, ik zal eens kijken of het wellicht een idee is om ergens change-logs te plaatsen voor de update’s. Deze melding was zoals vermeld in de e-mail al in behandeling genomen en is nu toegepast sinds eind februari.

    Nogmaals hartelijk bedankt voor de berichten en u kunt nu internetten via OpenVPN zonder zorgen.

    Met vriendelijke groet,
    Lorenzo

The topic ‘Wanneer krijgt Goose veilige versie van OpenVPN?’ is closed to new replies.

GOOSE VPN Community

User forums, questions and answers on GOOS VPN services, reviews and more.

Don't have an account? SIGN UP