# Folgen von OCSP Soft-fail Bevor wir uns die Vor- und Nachteile ansehen, fassen wir kurz zusammen, was die Einstellung bedeutet: Bitte beachten Sie: Alle diese Beispiele beschreiben das Verhalten einer Authentifizierung, bei der der Anfragende ein gültiges Zertifikat hat (nicht abgelaufen, ausgestellt von einer vertrauenswürdigen CA). #### Soft-fail = Aktiviert Wenn beim Abfragen des OCSP-Responders ein Problem auftritt, z. B. ein Timeout oder falsche Daten, behandelt die Anwendung den Sperrstatus des Zertifikats als '**gut**'. #### Soft-fail = Deaktiviert Wenn beim Abfragen des OCSP-Responders ein Problem auftritt, z. B. ein Timeout oder falsche Daten, behandelt die Anwendung den Sperrstatus des Zertifikats als '**widerrufen**'. Wenn Sie **OCSP-Autodetect** verwenden und das Clientzertifikat keine OCSP-Responder-URL enthält, behandelt die Anwendung den Sperrstatus des Zertifikats als '**widerrufen**'. ## Vor- und Nachteile ### Soft-fail aktiviert #### Vorteile 1. **Höhere Verfügbarkeit und weniger Unterbrechungen** * Benutzer erleben mit geringerer Wahrscheinlichkeit plötzliche Authentifizierungsfehler aufgrund vorübergehender Netzwerkprobleme oder temporärer Ausfälle des OCSP-Responders. * Verbessert die Benutzererfahrung und reduziert Supportanfragen zu „kann keine Verbindung herstellen“-Problemen, die ausschließlich durch OCSP-Konnektivitäts- oder Dienstprobleme verursacht werden. 2. **Bessere Toleranz gegenüber Ausfällen des OCSP-Dienstes** * Wenn der OCSP-Hosting-Anbieter Ausfallzeiten oder zertifikatsbezogene Probleme hat, werden Authentifizierungen dennoch erfolgreich sein. 3. **Geringe Auswirkungen auf die Geschäftskontinuität** * Besonders wichtig in Umgebungen, in denen Ausfallzeiten hohe Kosten verursachen (z. B. kritische Infrastruktur, Notfalldienste oder Unternehmen mit 24/7-Betrieb). #### Nachteile 1. **Sicherheitsrisiko: Widerrufene Zertifikate können akzeptiert werden** * Ein Fehler bei der Überprüfung des Widerrufsstatus durch den RADIUS-Server aufgrund von OCSP-Unerreichbarkeit oder anderen Problemen führt dazu, dass ein widerrufenes Zertifikat akzeptiert wird. * Dies untergräbt das Vertrauensmodell der zertifikatsbasierten Authentifizierung und kann ausgenutzt werden, wenn ein Angreifer absichtlich OCSP-Fehler erzwingt. 2. **Fehlende Transparenz bei systemweiten Problemen** * Wenn das System Widerrufsprüfungen stillschweigend umgeht, bemerken Administratoren möglicherweise nicht sofort, dass ein OCSP-Responder ausgefallen oder falsch konfiguriert ist, wodurch sich das Zeitfenster der Verwundbarkeit verlängert. ### Soft-fail deaktiviert #### Vorteile 1. **Höhere Sicherheitsgewähr** * Stellt sicher, dass jedes Zertifikat, das nicht erfolgreich gegen den OCSP-Responder validiert werden kann, abgelehnt wird. * Schützt vor der Verwendung widerrufener oder anderweitig kompromittierter Zertifikate. 2. **Klare operative Signale** * Wenn die Authentifizierung plötzlich fehlschlägt, zwingt das dazu, die Verfügbarkeit oder Konfigurationsprobleme von OCSP schnell zu untersuchen. * Administratoren werden sofort auf etwaige Konnektivitäts- oder Vertrauenskettensprobleme aufmerksam, da sich kein Benutzer authentifizieren kann, solange die OCSP-Prüfung nicht erfolgreich ist. #### Nachteile 1. **Einzelner Fehlerpunkt** * Wenn der OCSP-Responder ausgefallen, von DDoS betroffen, nicht erreichbar oder falsch konfiguriert ist, **alle** Authentifizierungen mit gültigem Zertifikat schlagen fehl. * Kann erhebliche Geschäftsunterbrechungen und eine Flut von Supportanrufen verursachen. 2. **Abhängigkeit von der Verfügbarkeit des OCSP-Dienstes** * Impliziert, dass Ihr OCSP-Dienst hochverfügbar und robust überwacht sein muss. * Erfordert eine gründliche Failover-Planung (z. B. mehrere OCSP-Responder, Load-Balancing oder Redundanz), um massive Ausfälle zu verhindern. * Erfordert Planung für die Aktualisierung des Responders 3. **Mögliche Frustration für Benutzer** * Benutzer können sich nicht verbinden, selbst wenn sie vollkommen gültige Zertifikate haben, nur weil die OCSP-Prüfung nicht abgeschlossen werden kann. --- # Agent Instructions: Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://docs.radiusaas.com/de/andere/faqs/folgen-von-ocsp-soft-fail.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.