Mengapa `--duplicate-cn` tidak direkomendasikan di OpenVPN?

Apakah ini karena alasan keamanan, atau alasan kinerja?

Alasan keamanan.

Dengan --duplicate-cn, dua koneksi dengan nama umum yang sama diizinkan, sehingga satu sertifikat dapat digunakan oleh lebih dari satu koneksi / pengguna.

Tanpa --duplicate-cn, setiap vpn cert harus memiliki CN mereka sendiri, sehingga setiap koneksi / pengguna memiliki satu cert unik.

Sebenarnya tidak satu pun dari alasan itu. Jika itu harus salah satu dari dua opsi itu, Anda mungkin berpendapat bahwa itu keamanan. Namun, menggunakan duplikat-cn saja tidak membuat VPN Anda menjadi kurang aman. Ada dua alasan yang saya tahu. Yang pertama adalah kekhawatiran tentang mengelola kredensial yang digunakan untuk otentikasi pada VPN - jika banyak klien menggunakan sertifikat yang sama, maka mencabut sertifikat itu juga mencabut akses untuk semua klien yang menggunakannya, yang mungkin atau mungkin tidak diinginkan. Selain itu, merupakan hal yang biasa bagi perangkat klien untuk menjelajah dan memulai koneksi dari berbagai alamat publik - dalam kasus-kasus itu lebih mungkin diinginkan agar perangkat tersebut mempertahankan alamat yang sama pada VPN meskipun roaming, yang mengharuskan adanya tidak lebih dari satu koneksi per sertifikat klien.

Kasing penggunaan yang valid untuk duplikat-cn mungkin ada di mana perangkat klien Anda tidak berkeliaran dan Anda tidak peduli untuk mengontrol akses berdasarkan klien-oleh-klien dan prioritas Anda yang lebih tinggi tidak menghabiskan terlalu banyak waktu mengelola kunci dan sertifikat. Saya percaya dasar dari rekomendasi mereka adalah kenyataan bahwa kasus-kasus seperti itu adalah minoritas dan juga bahwa kebanyakan orang tidak memahami keamanan, apalagi keamanan berbasis PKI dan mereka tidak ingin mengeruhkan air untuk orang-orang seperti itu.

Saya pikir alasan duplikat-cn dan client-config-dir bersama-sama tidak dianjurkan karena masalah yang akan muncul jika pengguna tertentu memiliki konfigurasi dengan IP statis dan mereka terhubung dari beberapa perangkat pada saat yang sama. Hal-hal tidak akan berfungsi dengan baik dalam situasi itu. Selama beberapa pengguna koneksi tidak memiliki IP statis client-config-dir, seharusnya tidak ada masalah.