原文来自：/angristan/openvpn-install

(资料图片仅供参考)

不要启用压缩，VORACLE攻击利用OpenVON的压缩功能，从而破坏加密流量（使其恢复为明文通信）。

请将TLS版本升级为“最低要求TLS ”。

OpenVON在版本开始加入了ECDSA证书支持，ECC加密算法（椭圆曲线密码学）速度更快且安全性比RSA更高。

默认情况下OpenVON使用BlowFish加密算法（显示为BF-CBC，CBC是“加密算法操作模式”）。这个加密算法特别薄弱，请更换为AES-GCM或者ChaCha20-Poly1305。

密钥交换请使用ECDHE-ECDSA（椭圆曲线密码学-迪菲赫尔曼密钥交换）算法，没有理由继续使用传统的迪菲-赫尔曼密钥交换，更不要使用静态RSA密钥交换！

HMAC（基于哈希的消息验证码）请使用HMAC-SHA256（或者384、512），请注意：一旦指定使用AES-GCM或者ChaCha20-Poly1305加密算法，客户端将会忽略HMAC设置（因为AES-GCM和ChaCha20-Poly1305是“AEAD/关联数据的认证加密”算法，自带了数据校验能力）。

OpenVON提供了“控制通道加密”，分别叫TLS-Auth和TLS-Crypt。

简单来说：

TLS-Auth在 OpenVON 的 TCP/UDP 端口上启用一种“HMAC 防火墙”，其中带有不正确 HMAC 签名的 TLS 控制通道数据包可以立即丢弃而不会得到响应。

TLS-Crypt在TLS-Auth的基础上对控制通道进行加密（和验证）——并且隐藏用于 TLS 连接的证书来提供更多隐私（中间盒无法得知你正在连接的服务器的TLS证书），这使得识别 OpenVON 流量变得更加困难，并提供“穷人”的后量子安全性。

因此，你应该启用TLS-Crypt。

我说完了。

关键词：