¿Por qué no se recomienda `--duplicate-cn` en OpenVPN?

Question 1

Razones de seguridad.

Con --duplicate-cn, se permiten dos conexiones con el mismo nombre común, por lo que más de una conexión/usuarios pueden utilizar un certificado.

Sin --duplicate-cn, cada certificado vpn debe tener su propio CN, por lo que cada conexión/usuario tiene un certificado único.

Answer

Razones de seguridad.

Con --duplicate-cn, se permiten dos conexiones con el mismo nombre común, por lo que más de una conexión/usuarios pueden utilizar un certificado.

Sin --duplicate-cn, cada certificado vpn debe tener su propio CN, por lo que cada conexión/usuario tiene un certificado único.

Question 2

En realidad, no es ninguna de esas razones. Si tuviera que ser una de esas dos opciones, se podría argumentar que es seguridad. Sin embargo, usar duplicado-cn por sí solo no hace que su VPN sea menos segura. Hay dos razones que sé. La primera es una preocupación sobre la administración de las credenciales utilizadas para autenticarse en la VPN: si muchos clientes usan el mismo certificado, revocar ese certificado también revoca el acceso de todos los clientes que lo usan, lo que puede ser deseable o no. Además, es común que un dispositivo cliente se desplace e inicie conexiones desde una variedad de direcciones públicas; en esos casos, es más probable que se desee que ese dispositivo conserve la misma dirección en la VPN a pesar del roaming, lo que requiere que haya no más de una conexión por certificado de cliente.

Un caso de uso válido para duplicado-cn podría ser cuando los dispositivos de sus clientes no se desplazan y no le interesa controlar el acceso cliente por cliente y su mayor prioridad no es dedicar demasiado tiempo a administrar claves y certificados. Creo que la base de su recomendación es el hecho de que estos casos son una minoría y también que la mayoría de la gente no entiende la seguridad, mucho menos la seguridad basada en PKI y no quieren enturbiar las aguas para esas personas.

Answer

En realidad, no es ninguna de esas razones. Si tuviera que ser una de esas dos opciones, se podría argumentar que es seguridad. Sin embargo, usar duplicado-cn por sí solo no hace que su VPN sea menos segura. Hay dos razones que sé. La primera es una preocupación sobre la administración de las credenciales utilizadas para autenticarse en la VPN: si muchos clientes usan el mismo certificado, revocar ese certificado también revoca el acceso de todos los clientes que lo usan, lo que puede ser deseable o no. Además, es común que un dispositivo cliente se desplace e inicie conexiones desde una variedad de direcciones públicas; en esos casos, es más probable que se desee que ese dispositivo conserve la misma dirección en la VPN a pesar del roaming, lo que requiere que haya no más de una conexión por certificado de cliente.

Un caso de uso válido para duplicado-cn podría ser cuando los dispositivos de sus clientes no se desplazan y no le interesa controlar el acceso cliente por cliente y su mayor prioridad no es dedicar demasiado tiempo a administrar claves y certificados. Creo que la base de su recomendación es el hecho de que estos casos son una minoría y también que la mayoría de la gente no entiende la seguridad, mucho menos la seguridad basada en PKI y no quieren enturbiar las aguas para esas personas.

Question 3

Creo que la razón por la que no se recomiendan duplicar-cn y client-config-dir juntos es por los problemas que surgirían si un usuario específico tiene una configuración con una IP estática y se conecta desde múltiples dispositivos al mismo tiempo. Las cosas no van a funcionar bien en esa situación. Siempre que los usuarios de múltiples conexiones no tengan IP estáticas client-config-dir, no debería haber ningún problema.

Answer

Creo que la razón por la que no se recomiendan duplicar-cn y client-config-dir juntos es por los problemas que surgirían si un usuario específico tiene una configuración con una IP estática y se conecta desde múltiples dispositivos al mismo tiempo. Las cosas no van a funcionar bien en esa situación. Siempre que los usuarios de múltiples conexiones no tengan IP estáticas client-config-dir, no debería haber ningún problema.

¿Por qué no se recomienda `--duplicate-cn` en OpenVPN?

Respuesta1

Respuesta2

Respuesta3

información relacionada