Warum wird `--duplicate-cn` in OpenVPN nicht empfohlen?

Question 1

Sicherheitsgrund.

Mit --duplicate-cn sind zwei Verbindungen mit demselben gemeinsamen Namen zulässig, sodass ein Zertifikat von mehr als einer Verbindung/mehreren Benutzern verwendet werden kann.

Ohne --duplicate-cn muss jedes VPN-Zertifikat über einen eigenen CN verfügen, sodass jede Verbindung/jeder Benutzer ein eindeutiges Zertifikat hat.

Answer

Sicherheitsgrund.

Mit --duplicate-cn sind zwei Verbindungen mit demselben gemeinsamen Namen zulässig, sodass ein Zertifikat von mehr als einer Verbindung/mehreren Benutzern verwendet werden kann.

Ohne --duplicate-cn muss jedes VPN-Zertifikat über einen eigenen CN verfügen, sodass jede Verbindung/jeder Benutzer ein eindeutiges Zertifikat hat.

Question 2

Eigentlich ist es keiner dieser Gründe. Wenn es eine dieser beiden Optionen sein müsste, könnten Sie argumentieren, dass es die Sicherheit ist. Die Verwendung von duplicate-cn allein macht Ihr VPN jedoch nicht weniger sicher. Ich kenne zwei Gründe. Der erste ist ein Problem mit der Verwaltung der Anmeldeinformationen, die zur Authentifizierung im VPN verwendet werden – wenn viele Clients dasselbe Zertifikat verwenden, wird mit dem Widerruf dieses Zertifikats auch der Zugriff für alle Clients widerrufen, die es verwenden, was wünschenswert sein kann oder auch nicht. Außerdem ist es üblich, dass ein Clientgerät Roaming betreibt und Verbindungen von einer Reihe öffentlicher Adressen aus initiiert – in diesen Fällen ist es wahrscheinlicher erwünscht, dass das Gerät trotz des Roamings dieselbe Adresse im VPN behält, was erfordert, dass nicht mehr als eine Verbindung pro Clientzertifikat besteht.

Ein gültiger Anwendungsfall für Duplicate-CN könnte sein, dass Ihre Client-Geräte nicht roamen und Sie den Zugriff nicht für jeden Client einzeln kontrollieren möchten und es für Sie wichtiger ist, nicht zu viel Zeit mit der Verwaltung von Schlüsseln und Zertifikaten zu verbringen. Ich glaube, ihre Empfehlung beruht auf der Tatsache, dass solche Fälle in der Minderheit sind und dass die meisten Leute nichts von Sicherheit verstehen, geschweige denn von PKI-basierter Sicherheit, und sie möchten es diesen Leuten nicht noch schwerer machen.

Answer

Eigentlich ist es keiner dieser Gründe. Wenn es eine dieser beiden Optionen sein müsste, könnten Sie argumentieren, dass es die Sicherheit ist. Die Verwendung von duplicate-cn allein macht Ihr VPN jedoch nicht weniger sicher. Ich kenne zwei Gründe. Der erste ist ein Problem mit der Verwaltung der Anmeldeinformationen, die zur Authentifizierung im VPN verwendet werden – wenn viele Clients dasselbe Zertifikat verwenden, wird mit dem Widerruf dieses Zertifikats auch der Zugriff für alle Clients widerrufen, die es verwenden, was wünschenswert sein kann oder auch nicht. Außerdem ist es üblich, dass ein Clientgerät Roaming betreibt und Verbindungen von einer Reihe öffentlicher Adressen aus initiiert – in diesen Fällen ist es wahrscheinlicher erwünscht, dass das Gerät trotz des Roamings dieselbe Adresse im VPN behält, was erfordert, dass nicht mehr als eine Verbindung pro Clientzertifikat besteht.

Ein gültiger Anwendungsfall für Duplicate-CN könnte sein, dass Ihre Client-Geräte nicht roamen und Sie den Zugriff nicht für jeden Client einzeln kontrollieren möchten und es für Sie wichtiger ist, nicht zu viel Zeit mit der Verwaltung von Schlüsseln und Zertifikaten zu verbringen. Ich glaube, ihre Empfehlung beruht auf der Tatsache, dass solche Fälle in der Minderheit sind und dass die meisten Leute nichts von Sicherheit verstehen, geschweige denn von PKI-basierter Sicherheit, und sie möchten es diesen Leuten nicht noch schwerer machen.

Question 3

Ich denke, der Grund, warum die gemeinsame Verwendung von duplicate-cn und client-config-dir nicht empfohlen wird, sind die Probleme, die auftreten würden, wenn ein bestimmter Benutzer eine Konfiguration mit einer statischen IP hat und sich gleichzeitig von mehreren Geräten aus verbindet. In dieser Situation wird es nicht gut funktionieren. Solange die Benutzer mit mehreren Verbindungen keine statischen IPs für client-config-dir haben, sollte es kein Problem geben.

Answer

Ich denke, der Grund, warum die gemeinsame Verwendung von duplicate-cn und client-config-dir nicht empfohlen wird, sind die Probleme, die auftreten würden, wenn ein bestimmter Benutzer eine Konfiguration mit einer statischen IP hat und sich gleichzeitig von mehreren Geräten aus verbindet. In dieser Situation wird es nicht gut funktionieren. Solange die Benutzer mit mehreren Verbindungen keine statischen IPs für client-config-dir haben, sollte es kein Problem geben.

Warum wird `--duplicate-cn` in OpenVPN nicht empfohlen?

Antwort1

Antwort2

Antwort3

verwandte Informationen