SoftEther VPN User Forum

現在、サーバの設定でMS-SSTPサーバを有効にするのみを使用しており、Open-VPNサーバは使用していません。

が、この状態はどの程度セキュアなのか？というのが気になっております。

MS-SSTPでの証明書検証は、クライアントで行われるもので、攻撃シナリオとしては回避可能という認識をしております

MSのSSTPのドキュメントより。
5.3.1 Unauthorized Client Connecting to an SSTP Server
https://docs.microsoft.com/en-us/opensp ... 17d805bd24

「The HTTPS connection goes through because the server does not authenticate the client at the SSL/TLS layer. Make sure the SSTP server terminates the connection at the PPP layer after determining that the client has no proper user credentials. 」

MS-SSTPの証明書としては、中間者攻撃等からエンドユーザを守るのが目的であり、
SSTPサーバを攻撃者から守るのが目的ではないと理解しているのですが（SSTPサーバは、ID、パスワード認証の場合、ID、パスワードしか守られていない）、認識あっておりますでしょうか？

はい。
クライアント側で行われるサーバー証明書の検証は、偽のサーバーに接続していないことを保証するためのもので、クライアント自身の真正性は保証しません。

クライアントの真正性の検証は、ID(ユーザー名)とパスワードの検証によって行われます。

回答ありがとうございます。
セキュリティー方針考えるのに使わせていただきます