Por que o `--duplicate-cn` não é recomendado no OpenVPN?

24

Isso é por motivo de segurança ou desempenho?

Cheng
fonte

Respostas:

12

Razão de segurança.

Com --duplicate-cn, são permitidas duas conexões com o mesmo nome comum, para que um certificado possa ser usado por mais de uma conexão / usuários.

Sem --duplicate-cn, todo certificado VPN deve ter seu próprio CN, para que cada conexão / usuário tenha um certificado único.

sntg
fonte
3
gostaria de poder rebaixar esta votação ... ela não responde à pergunta e apenas parcialmente descreve os efeitos colaterais.
Richard
1
Você não respondeu "por que".
warvariuc
45

Na verdade, não é nenhuma dessas razões. Se tivesse que ser uma dessas duas opções, você pode argumentar que é segurança. No entanto, o uso de duplicate-cn sozinho não torna sua VPN menos segura. Existem duas razões que eu conheço. A primeira é uma preocupação sobre o gerenciamento das credenciais usadas para autenticação na VPN - se muitos clientes usam o mesmo certificado, a revogação desse certificado também revoga o acesso a todos os clientes que o usam, o que pode ou não ser desejável. Além disso, é comum que um dispositivo cliente faça roaming e inicie conexões a partir de um intervalo de endereços públicos - nesses casos, é mais provável que o dispositivo mantenha o mesmo endereço na VPN, apesar do roaming, o que exige que haja não mais de uma conexão por certificado de cliente.

Um caso de uso válido para duplicate-cn pode ser o local em que seus dispositivos clientes não circulam e você não deseja controlar o acesso cliente a cliente, e sua maior prioridade é não gastar muito tempo gerenciando chaves e certificados. Acredito que a base de sua recomendação é o fato de que esses casos são minoritários e também que a maioria das pessoas não entende de segurança, muito menos a segurança baseada em PKI e elas não querem turvar as águas para essas pessoas.

Salvador de Ferro
fonte
5
Essa deve ser a resposta aceita.
não ser
5
A razão pela qual usamos duplicate-cn é que um usuário pode ter o mesmo certificado para dispositivos móveis e laptops. Também gerencia o usuário desse usuário. Embora eu não sei porque eu recebo o avisoWARNING: using --duplicate-cn and --client-config-dir together is probably not what you want
Christian
2

Eu acho que o motivo pelo qual duplicate-cn e client-config-dir juntos não são recomendados é devido aos problemas que surgiriam se um usuário específico tivesse uma configuração com um IP estático e eles se conectassem a partir de vários dispositivos ao mesmo tempo. As coisas não vão funcionar bem nessa situação. Desde que os vários usuários da conexão não possuam IPs estáticos client-config-dir, não deverá haver um problema.

user389695
fonte