В целом, AES-256-GCM является сильным и безопасным алгоритмом шифрования для OpenVPN.
Он предоставляет хорошую комбинацию безопасности и производительности.
Если ваши клиенты поддерживают более современные алгоритмы, вы можете также рассмотреть использование алгоритмов, таких как ChaCha20-Poly1305, которые могут быть менее нагружены на процессор и при этом предоставляют высокий уровень безопасности.
cipher chacha20-poly1305
openssl x509 -noout -dates -in /usr/share/easy-rsa/pki/issued/user2.crt
openssl x509 -noout -dates -in /etc/openvpn/ca.crt
openssl x509 -noout -dates -in /etc/openvpn/server.crt
Здается в /usr/share/easy-rsa/vars
set_var EASYRSA_CA_EXPIRE Срок действия корневого сертификата
set_var EASYRSA_CERT_EXPIRE Срок действия клиентских и серверных сертификатов
Если пользователю нужно созать сертификат на 20 дней, необходимо в файле /usr/share/easy-rsa/vars задать
set_var EASYRSA_CERT_EXPIRE 20
Алгоритм шифрования Скорость шифрования (Mbps)
BF-CBC: 100 (Mbps)
AES-128-CBC: 80 (Mbps)
AES-256-CBC: 70 (Mbps)
CHACHA20-POLY1305: 95(Mbps)
CHACHA20-POLY1305: комбинированный алгоритм шифрования, который использует CHACHA20 для шифрования данных и POLY1305 для аутентификации. CHACHA20 является очень быстрым алгоритмом шифрования, который может работать почти на той же скорости, что и BF-CBC, при этом обеспечивая высокую безопасность. Источник: https://fsnslnr.su/faq/kakoi-algoritm-sifrovaniya-openvpn-samyi-bystryi