Почему `--duplicate-cn` не рекомендуется использовать в OpenVPN?

Question 1

По соображениям безопасности.

При использовании параметра --duplicate-cn допускаются два соединения с одинаковым общим именем, поэтому один сертификат может использоваться несколькими соединениями/пользователями.

Без --duplicate-cn каждый сертификат VPN должен иметь свой собственный CN, поэтому каждое соединение/пользователь будет иметь один уникальный сертификат.

Answer

По соображениям безопасности.

При использовании параметра --duplicate-cn допускаются два соединения с одинаковым общим именем, поэтому один сертификат может использоваться несколькими соединениями/пользователями.

Без --duplicate-cn каждый сертификат VPN должен иметь свой собственный CN, поэтому каждое соединение/пользователь будет иметь один уникальный сертификат.

Question 2

На самом деле это не одна из этих причин. Если бы это был один из этих двух вариантов, вы могли бы утверждать, что это безопасность. Однако использование только duplicate-cn не делает ваш VPN менее безопасным. Есть две причины, которые я знаю. Первая — это беспокойство об управлении учетными данными, используемыми для аутентификации в VPN — если много клиентов используют один и тот же сертификат, то отзыв этого сертификата также отменит доступ для всех клиентов, которые его используют, что может быть желательным или нежелательным. Кроме того, клиентское устройство часто перемещается и инициирует соединения с ряда публичных адресов — в этих случаях более вероятно, что это устройство сохранит тот же адрес в VPN, несмотря на роуминг, который требует, чтобы на один клиентский сертификат было не более одного соединения.

Допустимым вариантом использования duplicate-cn может быть случай, когда ваши клиентские устройства не перемещаются, и вы не хотите контролировать доступ на основе клиент-клиент, а ваш главный приоритет — не тратить слишком много времени на управление ключами и сертификатами. Я считаю, что основой их рекомендации является тот факт, что такие случаи встречаются в меньшинстве, а также то, что большинство людей не понимают безопасности, не говоря уже о безопасности на основе PKI, и они не хотят мутить воду для таких людей.

Answer

На самом деле это не одна из этих причин. Если бы это был один из этих двух вариантов, вы могли бы утверждать, что это безопасность. Однако использование только duplicate-cn не делает ваш VPN менее безопасным. Есть две причины, которые я знаю. Первая — это беспокойство об управлении учетными данными, используемыми для аутентификации в VPN — если много клиентов используют один и тот же сертификат, то отзыв этого сертификата также отменит доступ для всех клиентов, которые его используют, что может быть желательным или нежелательным. Кроме того, клиентское устройство часто перемещается и инициирует соединения с ряда публичных адресов — в этих случаях более вероятно, что это устройство сохранит тот же адрес в VPN, несмотря на роуминг, который требует, чтобы на один клиентский сертификат было не более одного соединения.

Допустимым вариантом использования duplicate-cn может быть случай, когда ваши клиентские устройства не перемещаются, и вы не хотите контролировать доступ на основе клиент-клиент, а ваш главный приоритет — не тратить слишком много времени на управление ключами и сертификатами. Я считаю, что основой их рекомендации является тот факт, что такие случаи встречаются в меньшинстве, а также то, что большинство людей не понимают безопасности, не говоря уже о безопасности на основе PKI, и они не хотят мутить воду для таких людей.

Question 3

Я думаю, что причина, по которой не рекомендуется использовать duplicate-cn и client-config-dir вместе, заключается в проблемах, которые могут возникнуть, если у конкретного пользователя есть конфигурация со статическим IP и он подключается с нескольких устройств одновременно. В такой ситуации ничего не будет работать хорошо. Пока у пользователей с множественным подключением нет статических IP client-config-dir, проблем быть не должно.

Answer

Я думаю, что причина, по которой не рекомендуется использовать duplicate-cn и client-config-dir вместе, заключается в проблемах, которые могут возникнуть, если у конкретного пользователя есть конфигурация со статическим IP и он подключается с нескольких устройств одновременно. В такой ситуации ничего не будет работать хорошо. Пока у пользователей с множественным подключением нет статических IP client-config-dir, проблем быть не должно.

Почему `--duplicate-cn` не рекомендуется использовать в OpenVPN?

решение1

решение2

решение3

Связанный контент