집에 공유기에 설정된 OpenVPN에 접속을 하려니 에러 메세지가 표시 되면서 접속이 되지 않습니다. 에러 문제를 해결하고 VPN에 접속하기 위해서 찾은 자료들을 공유해 봅니다.
목차
You are using insecure hash algorithm in CA signature. Please regenerate CA with other hash algorithm 메세지
VPN 접속을 위해서 OpenVPN 클라이언트에서 연결을 시도했을 때 나타난 에러 메세지 입니다. 에러 메세지와 함께 VPN 접속이 되지 않습니다.
짧은 영어 실력으로 내용을 대충 해석해 보니, CA 서명에 사용된 해시 알고리즘이 보안에 취약하니 다른 알고리즘으로 CA를 재생성 해서 사용하라는 메세지 입니다.
아마도 기존에 기본값으로 사용되던 해시 알고리즘이 보안 문제로 더이상 사용할 수 없기에 새로운 해시 알고리즘을 사용해야 하는 상황으로 보입니다. SHA-1 해시 알고리즘이 현재는 권장되지 않아서 SHA-256, SHA-512등의 알고리즘이 사용되는 것과 비슷한 상황으로 생각됩니다.
OpenVPN 문제 해결 방법
해결 방법은 간단합니다. CA 서명에 다른 해시 알고리즘이 기본값으로 사용되도록 설정을 업데이트 하거나 OpenVPN 서버를 최신 버전으로 업데이트 하면 됩니다.
저는 Asus 공유기에서 제공해주는 OpenVPN 기능을 사용하고 있기 때문에 내부적인 설정에 접근할 수 있는 방법이 없습니다. 어떤 해시 알고리즘이 사용되고 있는지도 알 수 없는 상황입니다.
Asus에서 해당 문제를 수정해서 최신 펌웨어를 공개 하기만을 기다릴 수 밖에 없습니다.
그러나 당장 VPN을 사용해야 하는 저로서는 이 문제를 임시로 해결할 수 있는 방법을 사용하기로 합니다.
클라이언트의 Settings 메뉴 하단의 Advanced Settings 항목을 찾아서 감춰진 상세 항목을 펼칩니다.
시큐리티 레벨을 Insecure로 선택합니다.
다시 VPN에 접속을 시도하면 에러 메세지 없이 정상 접속이 됩니다.
이 방법이 완벽한 해결책은 아닙니다. 직접 OpenVPN 서버를 설치해서 사용하고 있는 경우에는 서버를 업데이트 하거나 CA 서명 알고리즘을 권장되는 방식으로 변경하여 사용하면 됩니다. 제 경우엔 그렇지 못한 상황이기에 이 방법이 최선이 아닌가 생각 됩니다.
ASUS 공유기의 Open VPN 암호 알고리즘
현재 사용하고 있는 공유기의 OpenVPN 설정에서 선택할 수 있는 암호화 알고리즘 목록입니다.
OpenVPN Client가 업데이트 되면서 AES-256-CBC등의 -CBC로 끝나는 이름의 알고리즘은 더 이상 사용하지 못하도록 변경된 것 같습니다. (OpenVPN 2.3 이전 버전까지만 사용 가능)
현재 최신버전에서 권장하는 AES-256-GCM, AES-128-GCM 등의 -GCM 알고리즘입니다. 오래된 제 공유기에서는 더 이상 권장되는 알고리즘 사용이 어렵게 되었네요.
참고자료
OpenVPN Connect 3.4.0.3121 get insecure hash algorithm in CA signature error
ASUSWRT の OpenVPN で楕円曲線暗号 secp521r1 を使う
Tutorial: Change the Data-Channel Encryption Cipher