circle-info
Este artículo ha sido traducido automáticamente. La traducción puede contener imprecisiones.
Cambiar a la versión original en inglés.chevron-right
search

Consecuencias del fallo suave de OCSP

Esta página ofrece una visión general de los pros y los contras en términos del mecanismo de fallo suave (soft-fail) de OCSP.

Antes de profundizar en los pros y los contras, comencemos recapitulando rápidamente lo que significa la configuración:

Tenga en cuenta: Todos esos ejemplos describen el comportamiento de una autenticación en la que el solicitante tiene un certificado válido (no caducado, emitido por una CA de confianza).

hashtag
Fallo suave = Habilitado

Si ocurre un problema al consultar al respondededor OCSP, como un tiempo de espera o datos incorrectos, la aplicación trata el estado de revocación del certificado como 'bueno'.

hashtag
Fallo suave = Deshabilitado

Si ocurre un problema al consultar al respondededor OCSP, como un tiempo de espera o datos incorrectos, la aplicación trata el estado de revocación del certificado como 'revocado'.

Si utiliza OCSP-Autodetectar y el certificado del cliente no incluye una URL de respondededor OCSP, la aplicación trata el estado de revocación del certificado como 'revocado'.

hashtag
Pros y Contras

hashtag
Fallo suave habilitado

hashtag
Pros

  1. Mayor disponibilidad y menos interrupciones

    • Los usuarios tienen menos probabilidades de experimentar fallos repentinos de autenticación debido a problemas transitorios de red o interrupciones temporales del respondededor OCSP.

    • Mejora la experiencia del usuario y reduce las llamadas al soporte relacionadas con problemas de “no puedo conectar” causados únicamente por la conectividad o problemas del servicio OCSP.

  2. Mejor tolerancia a las interrupciones del servicio OCSP

    • Si el proveedor que hospeda el OCSP experimenta tiempo de inactividad o problemas relacionados con certificados, las autenticaciones seguirán teniendo éxito.

  3. Impacto mínimo en la continuidad del negocio

    • Especialmente importante en entornos donde el tiempo de inactividad tiene un alto coste (por ejemplo, infraestructura crítica, servicios de emergencia o negocios 24/7).

hashtag
Contras

  1. Riesgo de seguridad: pueden aceptarse certificados revocados

    • Una falla en la verificación del estado de revocación del servidor RADIUS, debido a la indisponibilidad del OCSP u otros problemas, resultará en la aceptación de un certificado revocado.

    • Esto socava el modelo de confianza de la autenticación basada en certificados y puede ser explotado si un atacante fuerza deliberadamente fallos del OCSP.

  2. Falta de visibilidad sobre problemas en todo el sistema

    • Si el sistema omite silenciosamente las comprobaciones de revocación, los administradores podrían no darse cuenta de inmediato de que un respondededor OCSP está caído o mal configurado, prolongando la ventana de vulnerabilidad.

hashtag
Fallo suave deshabilitado

hashtag
Pros

  1. Mayor garantía de seguridad

    • Garantiza que cualquier certificado que no pueda validarse positivamente contra el respondededor OCSP sea rechazado.

    • Protege contra el uso de certificados revocados o de otro modo comprometidos.

  2. Señales operativas claras

    • Si la autenticación de repente empieza a fallar, obliga a prestar atención rápida a la disponibilidad o configuración del OCSP.

    • Los administradores se dan cuenta inmediatamente de cualquier problema de conectividad o de la cadena de confianza porque ningún usuario puede autenticarse a menos que la verificación OCSP sea exitosa.

hashtag
Contras

  1. Punto único de fallo

    • Si el respondededor OCSP está caído, sufre un ataque DDoS, es inalcanzable o está mal configurado, todas las autenticaciones con certificados válidos fallan.

    • Puede causar una interrupción significativa del negocio y una avalancha de llamadas al soporte.

  2. Dependencia del tiempo de actividad del servicio OCSP

    • Implica que su servicio OCSP debe ser altamente disponible y estar monitorizado de forma robusta.

    • Requiere una planificación exhaustiva de conmutación por error (por ejemplo, múltiples respondedores OCSP, balanceo de carga o redundancia) para evitar apagones masivos.

    • Requiere planificación para actualizar el respondededor

  3. Posible frustración para los usuarios

    • Los usuarios no pueden conectarse incluso cuando tienen certificados perfectamente válidos, simplemente porque la comprobación OCSP no puede completarse.

Última actualización

¿Te fue útil?