Dlaczego `--duplicate-cn` nie jest zalecane w OpenVPN?

24

Czy to ze względów bezpieczeństwa lub wydajności?

openvpn Cheng
źródło

Odpowiedzi:

12

Powód bezpieczeństwa.

W przypadku --duplicate-cn dozwolone są dwa połączenia o tej samej wspólnej nazwie, więc jeden certyfikat może być używany przez więcej niż jedno połączenie / użytkowników.

Bez opcji --duplicate-cn, każdy certyfikat VPN musi mieć swój własny kod CN, więc każde połączenie / użytkownik ma jeden unikalny certyfikat.

sntg
źródło
3
szkoda, że ​​nie mogę głosować za tym ... nie odpowiada na pytanie i tylko częściowo opisuje skutki uboczne.
Richard
1
Nie odpowiedziałeś „dlaczego”.
warvariuc
45

To właściwie żaden z tych powodów. Gdyby to była jedna z tych dwóch opcji, możesz argumentować, że to bezpieczeństwo. Jednak samo użycie duplikatu-cn nie powoduje, że twoja sieć VPN jest mniej bezpieczna. Są dwa powody, które znam. Pierwsza dotyczy obaw związanych z zarządzaniem poświadczeniami używanymi do uwierzytelniania w sieci VPN - jeśli wielu klientów korzysta z tego samego certyfikatu, wówczas odwołanie tego certyfikatu powoduje również cofnięcie dostępu dla wszystkich klientów, którzy go używają, co może być pożądane lub nie. Ponadto urządzenie klienckie często wędruje i inicjuje połączenia z szeregu adresów publicznych - w takich przypadkach bardziej prawdopodobne jest, aby to urządzenie zachowało ten sam adres w sieci VPN pomimo roamingu, co wymaga obecności nie więcej niż jedno połączenie na certyfikat klienta.

Prawidłowym przypadkiem użycia duplikatu-cn może być sytuacja, w której urządzenia klienckie nie wędrują i nie zależy ci na kontroli dostępu na zasadzie klient-klient, a twoim priorytetem nie jest poświęcanie zbyt wiele czasu na zarządzanie kluczami i certyfikatami. Uważam, że podstawą ich rekomendacji jest fakt, że takie przypadki są w mniejszości, a także, że większość ludzi nie rozumie bezpieczeństwa, a tym bardziej bezpieczeństwa opartego na PKI i nie chce mętnieć wód dla takich ludzi.

Żelazny Zbawiciel
źródło
5
To powinna być zaakceptowana odpowiedź.
będąc
5
Powodem, dla którego używamy duplikatu-cn jest to, że użytkownik może mieć ten sam certyfikat dla telefonu komórkowego i laptopa. Również zarządzanie tym użytkownikiem przez unifiy. Chociaż nie wiem, dlaczego dostaję ostrzeżenieWARNING: using --duplicate-cn and --client-config-dir together is probably not what you want
Christian
2

Myślę, że powód, dla którego duplikat-cn i klient-config-dir nie są zalecane, wynika z problemów, które powstałyby, gdyby określony użytkownik miał konfigurację ze statycznym adresem IP i łączył się z wielu urządzeń jednocześnie. W tej sytuacji nie będzie dobrze. Tak długo, jak wielu użytkowników połączenia nie ma statycznych adresów IP klient-config-dir, nie powinno być problemu.

użytkownik389695
źródło