Consecuencias de OCSP Soft-fail

Antes de profundizar en los pros y los contras, comencemos recapitulando rápidamente lo que significa esta configuración:

Tenga en cuenta: todos esos ejemplos describen el comportamiento de una autenticación en la que el solicitante tiene un certificado válido (no caducado, emitido por una CA de confianza).

Soft-fail = Habilitado

Si se produce un problema al consultar el respondedor OCSP, como un tiempo de espera agotado o datos incorrectos, la aplicación trata el estado de revocación del certificado como 'bueno'.

Soft-fail = Deshabilitado

Si se produce un problema al consultar el respondedor OCSP, como un tiempo de espera agotado o datos incorrectos, la aplicación trata el estado de revocación del certificado como 'revocado'.

Si usa OCSP-Autodetect y el certificado del cliente no incluye una URL de respondedor OCSP, la aplicación trata el estado de revocación del certificado como 'revocado'.

Pros y contras

Soft-fail habilitado

Pros

1. Mayor disponibilidad y menos interrupciones

   • Es menos probable que los usuarios experimenten fallos de autenticación repentinos debido a problemas transitorios de red o a interrupciones temporales del respondedor OCSP.

   • Mejora la experiencia del usuario y reduce las llamadas al soporte relacionadas con problemas de “no se puede conectar” causados únicamente por la conectividad OCSP o por problemas del servicio.

2. Mayor tolerancia a las interrupciones del servicio OCSP

   • Si el proveedor que aloja el OCSP experimenta tiempo de inactividad o problemas relacionados con certificados, las autenticaciones seguirán teniendo éxito.

3. Impacto mínimo en la continuidad del negocio

   • Especialmente importante en entornos donde el tiempo de inactividad tiene un alto coste (por ejemplo, infraestructura crítica, servicios de emergencia o negocios 24/7).

Contras

1. Riesgo de seguridad: se pueden aceptar certificados revocados

   • Un fallo en la verificación del estado de revocación del servidor RADIUS, debido a la indisponibilidad de OCSP u otros problemas, dará lugar a la aceptación de un certificado revocado.

   • Esto socava el modelo de confianza de la autenticación basada en certificados y puede ser explotado si un atacante fuerza deliberadamente fallos de OCSP.

2. Falta de visibilidad sobre problemas de todo el sistema

   • Si el sistema omite silenciosamente las comprobaciones de revocación, es posible que los administradores no noten de inmediato que un respondedor OCSP está caído o mal configurado, lo que prolonga la ventana de vulnerabilidad.

Soft-fail deshabilitado

Pros

1. Mayor garantía de seguridad

   • Garantiza que cualquier certificado que no pueda validarse positivamente frente al respondedor OCSP sea rechazado.

   • Protege contra el uso de certificados revocados o de otro modo comprometidos.

2. Señales operativas claras

   • Si la autenticación de repente empieza a fallar, obliga a prestar atención rápidamente a la disponibilidad de OCSP o a problemas de configuración.

   • Los administradores se enteran de inmediato de cualquier problema de conectividad o de la cadena de confianza, porque ningún usuario puede autenticarse a menos que la comprobación OCSP se complete con éxito.

Contras

1. Punto único de fallo

   • Si el respondedor OCSP está caído, sufre un ataque DDoS, es inaccesible o está mal configurado, todas las autenticaciones con certificados válidos fallan.

   • Puede causar una interrupción significativa del negocio y una avalancha de llamadas al soporte.

2. Dependencia del tiempo de actividad del servicio OCSP

   • Implica que su servicio OCSP debe tener alta disponibilidad y un monitoreo sólido.

   • Requiere una planificación exhaustiva de la conmutación por error (por ejemplo, múltiples respondedores OCSP, balanceo de carga o redundancia) para evitar interrupciones masivas.

   • Requiere planificar la actualización del respondedor

3. Posible frustración para los usuarios

   • Los usuarios no pueden conectarse incluso cuando tienen certificados perfectamente válidos, simplemente porque la comprobación OCSP no puede completarse.