Por que `--duplicate-cn` não é recomendado no OpenVPN?

Question 1

Razão de segurança.

Com --duplicate-cn, duas conexões com o mesmo nome comum são permitidas, portanto um certificado pode ser usado por mais de uma conexão/usuários.

Sem --duplicate-cn, todo certificado VPN deve ter seu próprio CN, para que cada conexão/usuário tenha um certificado exclusivo.

Answer

Razão de segurança.

Com --duplicate-cn, duas conexões com o mesmo nome comum são permitidas, portanto um certificado pode ser usado por mais de uma conexão/usuários.

Sem --duplicate-cn, todo certificado VPN deve ter seu próprio CN, para que cada conexão/usuário tenha um certificado exclusivo.

Question 2

Na verdade, não é nenhum desses motivos. Se tivesse que ser uma dessas duas opções, você poderia argumentar que é segurança. No entanto, usar apenas duplicado-cn não torna sua VPN menos segura. Há duas razões que eu conheço. A primeira é uma preocupação com o gerenciamento das credenciais usadas para autenticação na VPN – se muitos clientes usarem o mesmo certificado, a revogação desse certificado também revogará o acesso de todos os clientes que o utilizam, o que pode ou não ser desejável. Além disso, é comum que um dispositivo cliente faça roaming e inicie conexões a partir de uma variedade de endereços públicos - nesses casos, é mais provável que esse dispositivo mantenha o mesmo endereço na VPN, apesar do roaming, o que exige que haja não mais do que uma conexão por certificado de cliente.

Um caso de uso válido para duplicado-cn pode ser onde seus dispositivos clientes não fazem roaming e você não se importa em controlar o acesso cliente por cliente e sua prioridade mais alta é não gastar muito tempo gerenciando chaves e certificados. Acredito que a base da sua recomendação é o facto de tais casos serem uma minoria e também de a maioria das pessoas não compreenderem a segurança, muito menos a segurança baseada na PKI e não quererem turvar as águas para essas pessoas.

Answer

Na verdade, não é nenhum desses motivos. Se tivesse que ser uma dessas duas opções, você poderia argumentar que é segurança. No entanto, usar apenas duplicado-cn não torna sua VPN menos segura. Há duas razões que eu conheço. A primeira é uma preocupação com o gerenciamento das credenciais usadas para autenticação na VPN – se muitos clientes usarem o mesmo certificado, a revogação desse certificado também revogará o acesso de todos os clientes que o utilizam, o que pode ou não ser desejável. Além disso, é comum que um dispositivo cliente faça roaming e inicie conexões a partir de uma variedade de endereços públicos - nesses casos, é mais provável que esse dispositivo mantenha o mesmo endereço na VPN, apesar do roaming, o que exige que haja não mais do que uma conexão por certificado de cliente.

Um caso de uso válido para duplicado-cn pode ser onde seus dispositivos clientes não fazem roaming e você não se importa em controlar o acesso cliente por cliente e sua prioridade mais alta é não gastar muito tempo gerenciando chaves e certificados. Acredito que a base da sua recomendação é o facto de tais casos serem uma minoria e também de a maioria das pessoas não compreenderem a segurança, muito menos a segurança baseada na PKI e não quererem turvar as águas para essas pessoas.

Question 3

Acho que o motivo pelo qual duplicado-cn e client-config-dir juntos não são recomendados é devido aos problemas que surgiriam se um usuário específico tivesse uma configuração com um IP estático e se conectasse a partir de vários dispositivos ao mesmo tempo. As coisas não vão funcionar bem nessa situação. Contanto que os vários usuários de conexão não tenham IPs estáticos client-config-dir, não deverá haver problema.

Answer

Acho que o motivo pelo qual duplicado-cn e client-config-dir juntos não são recomendados é devido aos problemas que surgiriam se um usuário específico tivesse uma configuração com um IP estático e se conectasse a partir de vários dispositivos ao mesmo tempo. As coisas não vão funcionar bem nessa situação. Contanto que os vários usuários de conexão não tenham IPs estáticos client-config-dir, não deverá haver problema.

Por que `--duplicate-cn` não é recomendado no OpenVPN?

Responder1

Responder2

Responder3

informação relacionada