Perché `--duplicate-cn` non è raccomandato in OpenVPN?

24

È per motivi di sicurezza o prestazioni?

openvpn 
Cheng
fonte

Risposte:

12

Motivi di sicurezza.

Con --duplicate-cn, sono consentite due connessioni con lo stesso nome comune, quindi un certificato può essere utilizzato da più di una connessione / utenti.

Senza --duplicate-cn, ogni certificato VPN deve avere il proprio CN, quindi ogni connessione / utente ha un certificato univoco.

sntg
fonte
3
vorrei poter sottovalutare questo ... non risponde alla domanda e descrive solo parzialmente gli effetti collaterali.
Richard,
1
Non hai risposto "perché".
Warvariuc,
45

In realtà non è nessuno di questi motivi. Se dovesse essere una di quelle due opzioni, potresti obiettare che si tratta di sicurezza. Tuttavia, l'utilizzo di duplicate-cn da solo non rende la tua VPN meno sicura. Ci sono due ragioni che conosco. La prima riguarda la gestione delle credenziali utilizzate per l'autenticazione sulla VPN: se molti client utilizzano lo stesso certificato, la revoca di tale certificato revoca anche l'accesso per tutti i client che lo utilizzano, il che può essere o meno desiderabile. Inoltre, è comune per un dispositivo client eseguire il roaming e avviare connessioni da una serie di indirizzi pubblici - in quei casi è più probabile che quel dispositivo mantenga lo stesso indirizzo sulla VPN nonostante il roaming, che richiede che ci sia non più di una connessione per certificato client.

Un caso d'uso valido per duplicate-cn potrebbe essere il caso in cui i dispositivi client non effettuano il roaming e non ti interessa controllare l'accesso su base client per client e la tua priorità più elevata non è passare troppo tempo a gestire chiavi e certificati. Credo che la base della loro raccomandazione sia il fatto che tali casi siano in minoranza e anche che la maggior parte delle persone non capisce la sicurezza, tanto meno la sicurezza basata sulla PKI e non vogliono confondere le acque di tali persone.

Salvatore di ferro
fonte
5
Questa dovrebbe essere la risposta accettata.
nonbe
5
Il motivo per cui usiamo duplicate-cn è che un utente può avere lo stesso certificato per dispositivi mobili e laptop. Anche la gestione di unifiy di quell'utente. Anche se non so perché ricevo l'avvertimentoWARNING: using --duplicate-cn and --client-config-dir together is probably not what you want
Christian
2

Penso che il motivo per cui duplicate-cn e client-config-dir non siano raccomandati insieme sia dovuto ai problemi che sorgerebbero se un utente specifico ha una configurazione con un IP statico e si collegano da più dispositivi contemporaneamente. Le cose non funzioneranno bene in quella situazione. Finché gli utenti con connessione multipla non dispongono di IP statici client-config-dir, non dovrebbero esserci problemi.

user389695
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.