Folgen des OCSP-Soft-Fail

Bevor wir uns die Vor- und Nachteile ansehen, fassen wir kurz zusammen, was die Einstellung bedeutet:

Bitte beachten Sie: Alle diese Beispiele beschreiben das Verhalten einer Authentifizierung, bei der der Anfragende ein gültiges Zertifikat hat (nicht abgelaufen, ausgestellt von einer vertrauenswürdigen CA).

Soft-fail = Aktiviert

Wenn beim Abfragen des OCSP-Responders ein Problem auftritt, z. B. ein Timeout oder falsche Daten, behandelt die Anwendung den Sperrstatus des Zertifikats als 'gut'.

Soft-fail = Deaktiviert

Wenn beim Abfragen des OCSP-Responders ein Problem auftritt, z. B. ein Timeout oder falsche Daten, behandelt die Anwendung den Sperrstatus des Zertifikats als 'widerrufen'.

Wenn Sie OCSP-Autodetect verwenden und das Clientzertifikat keine OCSP-Responder-URL enthält, behandelt die Anwendung den Sperrstatus des Zertifikats als 'widerrufen'.

Vor- und Nachteile

Soft-fail aktiviert

Vorteile

1. Höhere Verfügbarkeit und weniger Unterbrechungen

   • Benutzer erleben mit geringerer Wahrscheinlichkeit plötzliche Authentifizierungsfehler aufgrund vorübergehender Netzwerkprobleme oder temporärer Ausfälle des OCSP-Responders.

   • Verbessert die Benutzererfahrung und reduziert Supportanfragen zu „kann keine Verbindung herstellen“-Problemen, die ausschließlich durch OCSP-Konnektivitäts- oder Dienstprobleme verursacht werden.

2. Bessere Toleranz gegenüber Ausfällen des OCSP-Dienstes

   • Wenn der OCSP-Hosting-Anbieter Ausfallzeiten oder zertifikatsbezogene Probleme hat, werden Authentifizierungen dennoch erfolgreich sein.

3. Geringe Auswirkungen auf die Geschäftskontinuität

   • Besonders wichtig in Umgebungen, in denen Ausfallzeiten hohe Kosten verursachen (z. B. kritische Infrastruktur, Notfalldienste oder Unternehmen mit 24/7-Betrieb).

Nachteile

1. Sicherheitsrisiko: Widerrufene Zertifikate können akzeptiert werden

   • Ein Fehler bei der Überprüfung des Widerrufsstatus durch den RADIUS-Server aufgrund von OCSP-Unerreichbarkeit oder anderen Problemen führt dazu, dass ein widerrufenes Zertifikat akzeptiert wird.

   • Dies untergräbt das Vertrauensmodell der zertifikatsbasierten Authentifizierung und kann ausgenutzt werden, wenn ein Angreifer absichtlich OCSP-Fehler erzwingt.

2. Fehlende Transparenz bei systemweiten Problemen

   • Wenn das System Widerrufsprüfungen stillschweigend umgeht, bemerken Administratoren möglicherweise nicht sofort, dass ein OCSP-Responder ausgefallen oder falsch konfiguriert ist, wodurch sich das Zeitfenster der Verwundbarkeit verlängert.

Soft-fail deaktiviert

Vorteile

1. Höhere Sicherheitsgewähr

   • Stellt sicher, dass jedes Zertifikat, das nicht erfolgreich gegen den OCSP-Responder validiert werden kann, abgelehnt wird.

   • Schützt vor der Verwendung widerrufener oder anderweitig kompromittierter Zertifikate.

2. Klare operative Signale

   • Wenn die Authentifizierung plötzlich fehlschlägt, zwingt das dazu, die Verfügbarkeit oder Konfigurationsprobleme von OCSP schnell zu untersuchen.

   • Administratoren werden sofort auf etwaige Konnektivitäts- oder Vertrauenskettensprobleme aufmerksam, da sich kein Benutzer authentifizieren kann, solange die OCSP-Prüfung nicht erfolgreich ist.

Nachteile

1. Einzelner Fehlerpunkt

   • Wenn der OCSP-Responder ausgefallen, von DDoS betroffen, nicht erreichbar oder falsch konfiguriert ist, alle Authentifizierungen mit gültigem Zertifikat schlagen fehl.

   • Kann erhebliche Geschäftsunterbrechungen und eine Flut von Supportanrufen verursachen.

2. Abhängigkeit von der Verfügbarkeit des OCSP-Dienstes

   • Impliziert, dass Ihr OCSP-Dienst hochverfügbar und robust überwacht sein muss.

   • Erfordert eine gründliche Failover-Planung (z. B. mehrere OCSP-Responder, Load-Balancing oder Redundanz), um massive Ausfälle zu verhindern.

   • Erfordert Planung für die Aktualisierung des Responders

3. Mögliche Frustration für Benutzer

   • Benutzer können sich nicht verbinden, selbst wenn sie vollkommen gültige Zertifikate haben, nur weil die OCSP-Prüfung nicht abgeschlossen werden kann.