WireGuard vs OpenVPN nel 2026: primitive crittografiche, dimensione del codice e quando ciascuno è il default giusto
WireGuard è più recente, più piccolo e usa primitive moderne. OpenVPN è più vecchio, più grande e gira su TCP 443 per attraversare reti restrittive. Entrambi sono standard aperti. Ecco il quadro onesto per la scelta del protocollo.
Cosa sono WireGuard e OpenVPN, in breve
WireGuard è un protocollo VPN progettato da Jason A. Donenfeld e integrato nel kernel Linux nel 2020. Il whitepaper su wireguard.com/papers/wireguard.pdf specifica le sue primitive crittografiche: Curve25519 per lo scambio di chiavi, ChaCha20 per la crittografia simmetrica, Poly1305 per l'autenticazione, BLAKE2s per l'hashing, HKDF per la derivazione delle chiavi, SipHash24 per la chiave della tabella hash. L'implementazione nel kernel Linux è di circa 4.000 righe di codice. OpenVPN è più vecchio (rilasciato per la prima volta nel 2001), concesso in licenza GPL, gira in user space (non nel kernel) e usa OpenSSL o mbedTLS per la crittografia. Il manuale di riferimento di OpenVPN 2.6 è pubblicato su openvpn.net.
Dimensione del codice e superficie di audit
La piccola base di codice di WireGuard (~4.000 righe nell'implementazione del kernel Linux) è una scelta progettuale deliberata — più piccola è la base di codice, più piccola è la superficie di audit e meno sono i punti in cui i bug possono nascondersi. La base di codice di OpenVPN è più grande (l'intero progetto, inclusi il binario openvpn, i plugin e le librerie di supporto, si estende molto di più) — il compromesso è oltre due decenni di storia di CVE, il che significa che ogni caso limite comune è stato trovato, corretto e ora fa parte della suite di test. Nessuno dei due è inequivocabilmente più sicuro; la base di codice più piccola ha avuto meno occhi a esaminarla per un periodo più breve.
Trasporto: UDP vs TCP
WireGuard usa solo UDP. OpenVPN supporta sia UDP sia TCP. L'implicazione: le reti che bloccano UDP — Wi-Fi aziendale con regole di uscita restrittive, alcune reti d'albergo, reti con deep packet inspection che segnala il traffico UDP non-HTTPS — bloccheranno WireGuard. La modalità TCP di OpenVPN gira sulla porta TCP 443, la stessa porta usata da HTTPS, ed è quindi più difficile da bloccare senza compromettere il normale traffico web. Se ti connetti regolarmente da reti con uscita restrittiva, OpenVPN-TCP è la scelta più affidabile anche se è più lento. La maggior parte dei principali client VPN ti permette di cambiare protocollo senza cambiare account.
Le differenze di prestazioni derivano dal kernel space
Il più grande vantaggio prestazionale di WireGuard su Linux è che gira nel kernel space — i pacchetti non devono attraversare il confine user/kernel a ogni operazione di crittografia o decrittografia. OpenVPN gira in user space, il che storicamente ha rappresentato un overhead significativo. OpenVPN 2.6 con Data Channel Offload (DCO) sposta il lavoro del cifrario simmetrico nel kernel e colma gran parte del divario. Non pubblichiamo cifre di throughput grezze perché variano pesantemente in base alle condizioni di rete, al carico del server e all'ora del giorno; il whitepaper pubblicato di WireGuard documenta il design del protocollo e misura il prototipo, ma il throughput reale di una VPN consumer dipende dall'infrastruttura del fornitore tanto quanto dal protocollo.
Quali VPN sottoposte ad audit implementano quale protocollo
Tutte e cinque le principali VPN a pagamento sottoposte ad audit supportano sia WireGuard sia OpenVPN: Mullvad fornisce la propria implementazione di WireGuard insieme a OpenVPN (Cure53 ha sottoposto ad audit entrambe le configurazioni dei server nel giugno 2024). Proton VPN supporta WireGuard, OpenVPN e un protocollo Stealth (una variante di OpenVPN-su-TLS per reti restrittive). NordLynx di NordVPN è un'implementazione personalizzata di WireGuard. Lightway di ExpressVPN è un protocollo personalizzato con il proprio storico di audit (Cure53 + Praetorian nel 2024 hanno esaminato la riscrittura in Rust di Lightway). Surfshark supporta WireGuard e OpenVPN.
Raccomandazione
Usa come default WireGuard o il protocollo personalizzato derivato da WireGuard del fornitore (NordLynx, Lightway di ExpressVPN). Passa a OpenVPN-TCP quando la rete blocca UDP — Wi-Fi aziendale, Wi-Fi universitario con uscita restrittiva, reti d'albergo con DPI. La scelta del protocollo è raramente il collo di bottiglia per le prestazioni di una VPN consumer; la selezione dei server del fornitore e il carico attuale contano di più. Per la privacy in particolare, il protocollo non ha importanza — la proprietà no-log è indipendente dal protocollo ed è ciò che gli audit esistono per verificare.
Fonti
Whitepaper WireGuard: wireguard.com/papers/wireguard.pdf. Manuale di riferimento OpenVPN 2.6: openvpn.net/community-resources/reference-manual-for-openvpn-2-6. Audit dell'infrastruttura Mullvad (Cure53 giugno 2024, copriva sia le configurazioni dei server OpenVPN sia WireGuard): mullvad.net/en/blog/fourth-infrastructure-audit-completed-by-cure53. Audit Lightway ExpressVPN: expressvpn.com/blog/lightway-audits-cure53-praetorian. Tutti gli URL consultati il 2026-04-30.