# Consecuencias del soft-fail de OCSP Antes de profundizar en los pros y los contras, comencemos recapitulando rápidamente lo que significa esta configuración: Tenga en cuenta: todos esos ejemplos describen el comportamiento de una autenticación en la que el solicitante tiene un certificado válido (no caducado, emitido por una CA de confianza). #### Soft-fail = Habilitado Si se produce un problema al consultar el respondedor OCSP, como un tiempo de espera agotado o datos incorrectos, la aplicación trata el estado de revocación del certificado como '**bueno**'. #### Soft-fail = Deshabilitado Si se produce un problema al consultar el respondedor OCSP, como un tiempo de espera agotado o datos incorrectos, la aplicación trata el estado de revocación del certificado como '**revocado**'. Si usa **OCSP-Autodetect** y el certificado del cliente no incluye una URL de respondedor OCSP, la aplicación trata el estado de revocación del certificado como '**revocado**'. ## Pros y contras ### Soft-fail habilitado #### Pros 1. **Mayor disponibilidad y menos interrupciones** * Es menos probable que los usuarios experimenten fallos de autenticación repentinos debido a problemas transitorios de red o a interrupciones temporales del respondedor OCSP. * Mejora la experiencia del usuario y reduce las llamadas al soporte relacionadas con problemas de “no se puede conectar” causados únicamente por la conectividad OCSP o por problemas del servicio. 2. **Mayor tolerancia a las interrupciones del servicio OCSP** * Si el proveedor que aloja el OCSP experimenta tiempo de inactividad o problemas relacionados con certificados, las autenticaciones seguirán teniendo éxito. 3. **Impacto mínimo en la continuidad del negocio** * Especialmente importante en entornos donde el tiempo de inactividad tiene un alto coste (por ejemplo, infraestructura crítica, servicios de emergencia o negocios 24/7). #### Contras 1. **Riesgo de seguridad: se pueden aceptar certificados revocados** * Un fallo en la verificación del estado de revocación del servidor RADIUS, debido a la indisponibilidad de OCSP u otros problemas, dará lugar a la aceptación de un certificado revocado. * Esto socava el modelo de confianza de la autenticación basada en certificados y puede ser explotado si un atacante fuerza deliberadamente fallos de OCSP. 2. **Falta de visibilidad sobre problemas de todo el sistema** * Si el sistema omite silenciosamente las comprobaciones de revocación, es posible que los administradores no noten de inmediato que un respondedor OCSP está caído o mal configurado, lo que prolonga la ventana de vulnerabilidad. ### Soft-fail deshabilitado #### Pros 1. **Mayor garantía de seguridad** * Garantiza que cualquier certificado que no pueda validarse positivamente frente al respondedor OCSP sea rechazado. * Protege contra el uso de certificados revocados o de otro modo comprometidos. 2. **Señales operativas claras** * Si la autenticación de repente empieza a fallar, obliga a prestar atención rápidamente a la disponibilidad de OCSP o a problemas de configuración. * Los administradores se enteran de inmediato de cualquier problema de conectividad o de la cadena de confianza, porque ningún usuario puede autenticarse a menos que la comprobación OCSP se complete con éxito. #### Contras 1. **Punto único de fallo** * Si el respondedor OCSP está caído, sufre un ataque DDoS, es inaccesible o está mal configurado, **todas** las autenticaciones con certificados válidos fallan. * Puede causar una interrupción significativa del negocio y una avalancha de llamadas al soporte. 2. **Dependencia del tiempo de actividad del servicio OCSP** * Implica que su servicio OCSP debe tener alta disponibilidad y un monitoreo sólido. * Requiere una planificación exhaustiva de la conmutación por error (por ejemplo, múltiples respondedores OCSP, balanceo de carga o redundancia) para evitar interrupciones masivas. * Requiere planificar la actualización del respondedor 3. **Posible frustración para los usuarios** * Los usuarios no pueden conectarse incluso cuando tienen certificados perfectamente válidos, simplemente porque la comprobación OCSP no puede completarse. --- # Agent Instructions: Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://docs.radiusaas.com/es/otro/faqs/consecuencias-del-soft-fail-de-ocsp.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.