Se il tuo IP è completamente statico, potresti ovviamente utilizzare l'indirizzo IP in modo sicuro e affidabile. Ma stai bene usando il CNAME, purché ti fidi dell'entità che ospita il tuo file di zona DNS.
Se non sono affidabili o se sono sciatti, è ipotizzabile che alcune terze parti possano sostituire i propri record DNS per i propri e reindirizzare vpn.example.com
al proprio server "cattivo ragazzo" anziché a quello legittimo.
È sempre possibile che tu possa ottenere il dirottamento del DNS sul tuo computer o il malware che riempie il tuo file di host locale con voci false. Ma se ciò accade, è altrettanto probabile che il malware stia registrando le sequenze di tasti e inviandoli per posta a casa, quindi in questa situazione sei comunque compromesso.
Avendo detto tutto quanto sopra, tuttavia ...
Ti stai connettendo alla tua VPN da molti luoghi potenzialmente sospetti (hotspot aperti sul lato ruvido della città, hotel, Internet cafè, ecc.)? Se è così, c'è sempre la possibilità che quei sistemi siano stati compromessi e puntino a server DNS avvelenati.
Però ti vengono in mente almeno due fattori attenuanti.
Il primo è che, a seconda della tecnologia VPN che stai utilizzando, dovresti ricevere un avviso se il server che raggiungi non è quello che intendevi raggiungere. OpenVPN utilizza la crittografia asimmetrica e le tue chiavi VPN client non funzioneranno con un server canaglia a meno che quel server non sia stato in qualche modo caricato con la chiave privata del tuo server (nel qual caso sei già completamente compromesso). La VPN SSTP di Microsoft (un'altra VPN HTTPS) è protetta con un certificato SSL / TLS e dovrebbe abbaiare se il certificato sul server non è corretto e così via.
La seconda cosa è che anche se il DNS di un hotspot WiFi pubblico è stato avvelenato, il proprietario del server DNS avvelenato avrebbe dovuto puntare in modo specifico al CNAME del server vpn per reindirizzare l'utente su un server o relay VPN avvelenato . A meno che tu non sia un bersaglio di valore elevato, sembra abbastanza improbabile.
EDIT: esistono anche pacchetti anti-malware e altri servizi che reindirizzano sempre la tua macchina ai propri server DNS.