原文來(lái)自：https://github.com/angristan/openvpn-install

1. 不要啟用壓縮，VORACLE攻擊利用OpenVON的壓縮功能，從而破壞加密流量（使其恢復(fù)為明文通信）。

2. 請(qǐng)將TLS版本升級(jí)為“最低要求TLS 1.2”。

3. OpenVON在2.4版本開始加入了ECDSA證書支持，ECC加密算法（橢圓曲線密碼學(xué)）速度更快且安全性比RSA更高。

4. 默認(rèn)情況下OpenVON使用BlowFish加密算法（顯示為BF-CBC，CBC是“加密算法操作模式”）。這個(gè)加密算法特別薄弱，請(qǐng)更換為AES-GCM或者ChaCha20-Poly1305。

5. 密鑰交換請(qǐng)使用ECDHE-ECDSA（橢圓曲線密碼學(xué)-迪菲赫爾曼密鑰交換）算法，沒有理由繼續(xù)使用傳統(tǒng)的迪菲-赫爾曼密鑰交換，更不要使用靜態(tài)RSA密鑰交換！

6. HMAC（基于哈希的消息驗(yàn)證碼）請(qǐng)使用HMAC-SHA256（或者384、512），請(qǐng)注意：一旦指定使用AES-GCM或者ChaCha20-Poly1305加密算法，客戶端將會(huì)忽略HMAC設(shè)置（因?yàn)锳ES-GCM和ChaCha20-Poly1305是“AEAD/關(guān)聯(lián)數(shù)據(jù)的認(rèn)證加密”算法，自帶了數(shù)據(jù)校驗(yàn)?zāi)芰Γ?/p>

7. OpenVON提供了“控制通道加密”，分別叫TLS-Auth和TLS-Crypt。

   簡(jiǎn)單來(lái)說(shuō)：

   TLS-Auth在 OpenVON 的 TCP/UDP 端口上啟用一種“HMAC 防火墻”，其中帶有不正確 HMAC 簽名的 TLS 控制通道數(shù)據(jù)包可以立即丟棄而不會(huì)得到響應(yīng)。

   TLS-Crypt在TLS-Auth的基礎(chǔ)上對(duì)控制通道進(jìn)行加密（和驗(yàn)證）——并且隱藏用于 TLS 連接的證書來(lái)提供更多隱私（中間盒無(wú)法得知你正在連接的服務(wù)器的TLS證書），這使得識(shí)別 OpenVON 流量變得更加困難，并提供“窮人”的后量子安全性。

   因此，你應(yīng)該啟用TLS-Crypt。

8. 我說(shuō)完了。