Folgen des OCSP-Soft-Fail

Bevor wir auf die Vor- und Nachteile eingehen, fassen wir kurz zusammen, was die Einstellung bedeutet:

Bitte beachten Sie: Alle diese Beispiele beschreiben das Verhalten einer Authentifizierung, bei der der Supplicant ein gültiges Zertifikat besitzt (nicht abgelaufen, von einer vertrauenswürdigen CA ausgestellt).

Soft-fail = Aktiviert

Wenn ein Problem beim Abfragen des OCSP-Responders auftritt, wie z. B. ein Timeout oder fehlerhafte Daten, behandelt die Anwendung den Widerrufsstatus des Zertifikats als 'gültig'.

Soft-fail = Deaktiviert

Wenn ein Problem beim Abfragen des OCSP-Responders auftritt, wie z. B. ein Timeout oder fehlerhafte Daten, behandelt die Anwendung den Widerrufsstatus des Zertifikats als 'widerrufen'.

Wenn Sie OCSP-Autodetect verwenden und das Clientzertifikat keine OCSP-Responder-URL enthält, behandelt die Anwendung den Widerrufsstatus des Zertifikats als 'widerrufen'.

Vor- und Nachteile

Soft-fail aktiviert

Vorteile

1. Höhere Verfügbarkeit & weniger Unterbrechungen

   • Benutzer erleben seltener plötzliche Authentifizierungsfehler aufgrund vorübergehender Netzwerkprobleme oder temporärer Ausfälle des OCSP-Responders.

   • Verbessert die Benutzererfahrung und reduziert Supportanrufe, die ausschließlich durch OCSP-Konnektivitäts- oder Dienstprobleme verursacht werden.

2. Bessere Toleranz gegenüber OCSP-Dienstausfällen

   • Wenn der OCSP-Hosting-Anbieter Ausfallzeiten oder zertifikatbezogene Probleme hat, schlagen Authentifizierungen dennoch fehl.

3. Geringe Auswirkungen auf die Geschäftskontinuität

   • Besonders wichtig in Umgebungen, in denen Ausfallzeiten hohe Kosten verursachen (z. B. kritische Infrastrukturen, Rettungsdienste oder 24/7-Betriebe).

Nachteile

1. Sicherheitsrisiko: Zurückgezogene Zertifikate können akzeptiert werden

   • Ein Fehler in der Widerrufsstatusprüfung des RADIUS-Servers, verursacht durch die Nichtverfügbarkeit von OCSP oder andere Probleme, führt zur Akzeptanz eines zurückgezogenen Zertifikats.

   • Dies untergräbt das Vertrauensmodell der zertifikatsbasierten Authentifizierung und kann ausgenutzt werden, wenn ein Angreifer gezielt OCSP-Fehler herbeiführt.

2. Mangelnde Sichtbarkeit von systemweiten Problemen

   • Wenn das System Widerrufsprüfungen stillschweigend umgeht, bemerken Administratoren möglicherweise nicht sofort, dass ein OCSP-Responder ausgefallen oder falsch konfiguriert ist, wodurch das Zeitfenster der Verwundbarkeit verlängert wird.

Soft-fail deaktiviert

Vorteile

1. Höhere Sicherheitsgarantie

   • Stellt sicher, dass jedes Zertifikat, das nicht positiv gegen den OCSP-Responder validiert werden kann, abgelehnt wird.

   • Schützt vor der Verwendung zurückgezogener oder anderweitig kompromittierter Zertifikate.

2. Klare betriebliche Signale

   • Wenn die Authentifizierung plötzlich fehlschlägt, erzwingt dies eine schnelle Aufmerksamkeit für die Verfügbarkeit oder Konfigurationsprobleme des OCSP.

   • Administratoren werden sofort auf Verbindungs- oder Vertrauenskettproblems aufmerksam, da sich keiner authentifizieren kann, solange die OCSP-Prüfung nicht erfolgreich ist.

Nachteile

1. Einzelner Fehlerpunkt

   • Wenn der OCSP-Responder ausgefallen, durch DDoS angegriffen, unerreichbar oder falsch konfiguriert ist, alle gültigen Zertifikats-Authentifizierungen fehlschlagen.

   • Kann erhebliche Geschäftsunterbrechungen und eine Flut von Supportanrufen verursachen.

2. Abhängigkeit von der Verfügbarkeit des OCSP-Dienstes

   • Impliziert, dass Ihr OCSP-Dienst hochverfügbar und robust überwacht werden muss.

   • Erfordert gründliche Failover-Planung (z. B. mehrere OCSP-Responder, Load-Balancing oder Redundanz), um massive Ausfälle zu verhindern.

   • Erfordert Planung für die Aktualisierung des Responders

3. Mögliche Frustration für Benutzer

   • Benutzer können sich nicht verbinden, selbst wenn sie völlig gültige Zertifikate besitzen, einfach weil die OCSP-Prüfung nicht abgeschlossen werden kann.