WireGuard o OpenVPN: analisi dei pro e i contro

Hai configurato una VPN e ti chiedi se usare WireGuard o OpenVPN? È la domanda che si fa chiunque voglia costruire un tunnel sicuro oggi — che sia per connettere due sedi aziendali, per lavorare da remoto o semplicemente per navigare protetto su reti pubbliche. La risposta non è scontata: i due protocolli sono stati progettati con filosofie opposte, e capire le differenze cambia tutto.

Due filosofie a confronto

OpenVPN è nato nel 2001 e ha costruito la sua reputazione su vent'anni di deployment, audit e bug fix. È un protocollo maturo, basato su SSL/TLS, con centinaia di opzioni configurabili. Vuoi usare AES-256-GCM? RSA-4096? TLS 1.3 con cipher suite specifiche? Puoi. Vuoi farlo girare su TCP porta 443 per sembrare traffico HTTPS normale? Puoi anche quello.

WireGuard è nato nel 2016 con l'obiettivo opposto: fare meno cose, ma farle benissimo. Meno di 4.000 righe di codice contro le 400.000+ di OpenVPN. Nessuna scelta di algoritmi: Curve25519 per lo scambio di chiavi, ChaCha20-Poly1305 per la cifratura, BLAKE2s per l'hashing. Tutto fisso. Non puoi scegliere altro.

Questa differenza di filosofia si traduce in conseguenze pratiche su ogni aspetto: velocità, sicurezza, configurazione, compatibilità.

Prestazioni: WireGuard vince nettamente

WireGuard è significativamente più veloce di OpenVPN, e per ragioni strutturali — non di implementazione.

Kernel space vs userspace: Su Linux, WireGuard gira direttamente nel kernel. OpenVPN gira in userspace: ogni pacchetto deve attraversare il confine kernel-userspace per essere elaborato, un'operazione costosa che si ripete milioni di volte al secondo. Su un server che gestisce decine di client simultanei, questo overhead si accumula.

Algoritmi moderni: ChaCha20 è stato progettato per essere veloce su processori ARM senza istruzioni AES hardware — esattamente quelli che trovi negli smartphone e nei dispositivi embedded. Su un iPhone o Android, WireGuard è spesso 3-5 volte più veloce di OpenVPN a parità di sicurezza.

Handshake rapidissimo: La negoziazione iniziale di WireGuard dura pochi millisecondi. OpenVPN può richiedere 1-3 secondi per il three-way handshake TLS completo. Su reti mobili che cadono e si riconnettono continuamente — entri in metropolitana, esci, passi da Wi-Fi a 4G — la differenza è concreta.

In benchmark reali su hardware standard, WireGuard raggiunge throughput 2-4 volte superiori a OpenVPN sulla stessa macchina.

Sicurezza: dipende da cosa intendi per "sicuro"

Paradossalmente, la semplicità di WireGuard è sia un punto di forza che un limite in termini di sicurezza.

Il vantaggio della semplicità: Meno codice significa meno superficie di attacco. Con 4.000 righe è possibile fare un audit completo del codice — l'ha fatto Linus Torvalds personalmente prima di integrarlo nel kernel Linux 5.6. Con 400.000 righe è praticamente impossibile garantire l'assenza di bug nascosti.

Gli algoritmi scelti da WireGuard — Curve25519, ChaCha20-Poly1305 — sono gli stessi usati da Signal per la messaggistica end-to-end e da TLS 1.3 per HTTPS. Non sono scelte esotiche: sono lo stato dell'arte crittografico attuale.

Il vantaggio della flessibilità di OpenVPN: In ambienti enterprise con requisiti di compliance rigidi (PCI-DSS, HIPAA, FIPS 140-2), OpenVPN permette di specificare esattamente gli algoritmi approvati. WireGuard non ha questa flessibilità — se i tuoi requisiti di compliance prescrivono RSA-2048 con SHA-256, OpenVPN è l'unica opzione.

Perfect Forward Secrecy: Entrambi supportano PFS — le chiavi di sessione sono effimere e cambiano regolarmente. WireGuard le ruota ogni 3 minuti per default; OpenVPN ogni volta che viene rinegoziato il canale (configurabile).

Un dettaglio sulla privacy di WireGuard: WireGuard mantiene in memoria gli indirizzi IP dei peer autorizzati. Se il server viene compromesso, si può vedere da quali IP si è connesso ogni peer. OpenVPN ha modalità che evitano questa tracciabilità. Non è un difetto crittografico, ma è rilevante per chi costruisce VPN con forte requisito di anonimato.

Configurazione: abissalmente diversa

Ecco un file di configurazione client WireGuard completo e funzionante:

[Interface]
PrivateKey = <chiave_privata_client>
Address = 10.0.0.2/24
DNS = 1.1.1.1

[Peer]
PublicKey = <chiave_pubblica_server>
Endpoint = vpn.esempio.com:51820
AllowedIPs = 0.0.0.0/0
PersistentKeepalive = 25

Otto righe. Funziona.

Una configurazione OpenVPN client equivalente richiede almeno 30-40 righe, più tre file separati: il certificato CA, il certificato client e la chiave privata client. In un'azienda con 100 dipendenti, questo significa gestire 300+ file di certificati, monitorare le scadenze, implementare una PKI (Public Key Infrastructure) con procedure di revoca.

WireGuard usa coppie di chiavi pubbliche/private in stile SSH: generi la coppia, metti la chiave pubblica del client nel server e quella del server nel client. Fine. Nessun certificato, nessuna CA, nessuna scadenza da monitorare.

Compatibilità e casi limite

Firewall e rete: OpenVPN può girare su TCP porta 443, rendendolo indistinguibile dal traffico HTTPS. In reti aziendali restrittive o in paesi con Deep Packet Inspection, questo è un vantaggio enorme. WireGuard usa solo UDP — viene bloccato da qualsiasi firewall che permette solo TCP, che è una configurazione comune in molte reti corporate.

Piattaforme: Entrambi supportano Windows, macOS, Linux, iOS e Android. WireGuard è integrato nel kernel Linux dal 5.6 (marzo 2020) — su qualsiasi Ubuntu o Debian moderno non serve installare nulla. OpenVPN richiede il daemon e le librerie OpenSSL.

VPN commerciali: Quasi tutti i provider VPN consumer (Mullvad, ProtonVPN, ExpressVPN, NordVPN) supportano ormai entrambi. WireGuard è diventato il default per molti di loro proprio per le prestazioni superiori.

Quando scegliere l'uno o l'altro

Scegli WireGuard se:

• Stai configurando una VPN personale o per una piccola azienda senza requisiti di compliance particolari
• Vuoi le massime prestazioni, specialmente su dispositivi mobili
• La semplicità di configurazione è prioritaria
• Sei su Linux e vuoi qualcosa integrato nel kernel

Scegli OpenVPN se:

• Devi attraversare firewall che bloccano UDP (OpenVPN su TCP 443)
• Hai requisiti di compliance che prescrivono algoritmi specifici (FIPS, PCI-DSS)
• Hai già infrastruttura OpenVPN consolidata con PKI e certificate management
• Ti serve anonimato dei peer anche in caso di compromissione del server

Domande frequenti

WireGuard è abbastanza maturo per uso in produzione? Sì. È integrato nel kernel Linux ufficiale dal 2020, usato da milioni di installazioni e da quasi tutti i principali provider VPN consumer. La sua semplicità lo rende se possibile più affidabile di OpenVPN in produzione, non meno.

Posso usare WireGuard su un router casalingo? Dipende dal firmware. OpenWrt lo supporta nativamente. DD-WRT ha supporto variabile. I router consumer di TIM, Fastweb o Windtre con firmware stock generalmente non lo supportano senza modifiche. OpenVPN ha supporto più ampio sui router consumer, ma anche lì dipende dal modello.

OpenVPN è ancora rilevante nel 2025? Assolutamente sì, per i casi d'uso specifici che ho descritto — compliance, firewall traversal su TCP, ambienti con PKI esistente. Ma per tutto il resto, WireGuard è diventato lo standard de facto. Il fatto che sia incluso nel kernel Linux è il sigillo definitivo sulla sua qualità.

Esistono alternative a entrambi? Sì: IPsec/IKEv2 è spesso usato nei dispositivi Apple e nei VPN aziendali enterprise; è veloce ma complesso da configurare correttamente. Tailscale è un layer sopra WireGuard che aggiunge gestione centralizzata, SSO e zero-config networking — ideale per aziende che vogliono WireGuard senza gestire manualmente le chiavi di ogni device.