¿Por qué no se recomienda `--duplicate-cn` en OpenVPN?

24

¿Es por razones de seguridad o de rendimiento?

openvpn 
Cheng
fuente

Respuestas:

12

Razones de seguridad.

Con --duplicate-cn, se permiten dos conexiones con el mismo nombre común, por lo que un certificado puede ser utilizado por más de una conexión / usuarios.

Sin --duplicate-cn, cada certificado vpn debe tener su propio CN, por lo que cada conexión / usuario tiene un certificado único.

sntg
fuente
3
Ojalá pudiera rechazar este ... no responde la pregunta y solo describe parcialmente los efectos secundarios.
Richard
1
No has respondido "por qué".
warvariuc
45

En realidad no es ninguna de esas razones. Si tuviera que ser una de esas dos opciones, podría argumentar que es seguridad. Sin embargo, el uso de duplicate-cn solo no hace que su VPN sea menos segura. Hay dos razones que sé. La primera es la preocupación sobre la administración de las credenciales utilizadas para autenticar en la VPN: si muchos clientes usan el mismo certificado, revocar ese certificado también revoca el acceso para todos los clientes que lo usan, lo que puede o no ser conveniente. Además, es común que un dispositivo cliente deambule e inicie conexiones desde un rango de direcciones públicas; en esos casos, es más probable que ese dispositivo retenga la misma dirección en la VPN a pesar del roaming, lo que requiere que haya no más de una conexión por certificado de cliente.

Un caso de uso válido para duplicate-cn podría ser donde los dispositivos de su cliente no se desplazan y no le importa controlar el acceso cliente por cliente y su mayor prioridad es no pasar demasiado tiempo administrando claves y certificados. Creo que la base de su recomendación es el hecho de que tales casos son minoritarios y también que la mayoría de las personas no entienden la seguridad, mucho menos la seguridad basada en PKI y no quieren enturbiar las aguas para esas personas.

Salvador de hierro
fuente
55
Esta debería ser la respuesta aceptada.
ser
55
La razón por la que usamos duplicate-cn es para que un usuario pueda tener el mismo certificado para dispositivos móviles y portátiles. También unifiyé la gestión de ese usuario. Aunque no sé por qué recibo la advertenciaWARNING: using --duplicate-cn and --client-config-dir together is probably not what you want
Christian
2

Creo que la razón por la que no se recomiendan duplicate-cn y client-config-dir juntos se debe a los problemas que surgirían si un usuario específico tiene una configuración con una IP estática y se conectan desde múltiples dispositivos al mismo tiempo. Las cosas no van a funcionar bien en esa situación. Mientras los usuarios de conexiones múltiples no tengan IP estáticas de directorio de configuración de cliente, no debería haber ningún problema.

usuario389695
fuente
Al usar nuestro sitio, usted reconoce que ha leído y comprende nuestra Política de Cookies y Política de Privacidad.
Licensed under cc by-sa 3.0 with attribution required.