Pourquoi `--duplicate-cn` n'est pas recommandé dans OpenVPN?

Est-ce pour des raisons de sécurité ou de performances?

Raison de sécurité.

Avec --duplicate-cn, deux connexions avec le même nom commun sont autorisées, donc un certificat peut être utilisé par plus d'une connexion / utilisateurs.

Sans --duplicate-cn, chaque certificat vpn doit avoir son propre CN, donc chaque connexion / utilisateur a un certificat unique.

Ce n'est en fait ni l'une ni l'autre de ces raisons. S'il devait s'agir de l'une de ces deux options, vous pourriez dire que c'est la sécurité. Cependant, l'utilisation de duplicate-cn seul ne rend pas votre VPN moins sûr. Il y a deux raisons que je connais. Le premier concerne la gestion des informations d'identification utilisées pour l'authentification sur le VPN - si de nombreux clients utilisent le même certificat, la révocation de ce certificat révoque également l'accès pour tous les clients qui l'utilisent, ce qui peut ou non être souhaitable. En outre, il est courant qu'un appareil client se déplace et initie des connexions à partir d'une plage d'adresses publiques - dans ces cas, il est plus probable que cet appareil conserve la même adresse sur le VPN malgré l'itinérance, ce qui nécessite qu'il y ait pas plus d'une connexion par certificat client.

Un cas d'utilisation valide pour duplicate-cn peut être lorsque vos appareils clients ne se déplacent pas et que vous ne vous souciez pas de contrôler l'accès client par client et que votre priorité plus élevée ne passe pas trop de temps à gérer les clés et les certificats. Je crois que la base de leur recommandation est le fait que de tels cas sont minoritaires et aussi que la plupart des gens ne comprennent pas la sécurité, encore moins la sécurité basée sur l'ICP et ils ne veulent pas brouiller les eaux pour ces personnes.

Je pense que la raison pour laquelle duplicate-cn et client-config-dir ne sont pas recommandés ensemble est due aux problèmes qui pourraient survenir si un utilisateur spécifique a une configuration avec une IP statique et qu'il se connecte à partir de plusieurs appareils en même temps. Les choses ne vont pas bien fonctionner dans cette situation. Tant que les utilisateurs à connexion multiple n'ont pas d'adresse IP statique client-config-dir, il ne devrait pas y avoir de problème.