OCSP のソフトフェイルの影響

利点と欠点に入る前に、この設定が何を意味するかを簡単におさらいします：

注意：これらの例はすべて、サプリカント（認証を行う側）が有効な証明書（有効期限切れでない、信頼された認証局が発行したもの）を持っている場合の挙動を説明しています。

ソフトフェイル = 有効

OCSPレスポンダーに問い合わせた際にタイムアウトや不正なデータなどの問題が発生した場合、アプリケーションは証明書の失効状況を「有効'.

ソフトフェイル = 無効

OCSPレスポンダーに問い合わせた際にタイムアウトや不正なデータなどの問題が発生した場合、アプリケーションは証明書の失効状況を「失効'.

もしあなたが OCSP-自動検出 を使用していてクライアント証明書にOCSPレスポンダーのURLが含まれていない場合、アプリケーションは証明書の失効状況を「失効'.

利点と欠点

ソフトフェイル 有効

利点

1. 可用性の向上と中断の減少

   • 一時的なネットワーク問題やOCSPレスポンダーの一時的な停止により、ユーザーが突然認証に失敗する可能性が低くなります。

   • ユーザー体験が改善され、OCSPの接続性やサービスの問題だけが原因の「接続できない」問題に関するサポート依頼が減ります。

2. OCSPサービス停止への耐性向上

   • OCSPホスティングプロバイダがダウンしたり証明書関連の問題が発生した場合でも、認証は成功し続けます。

3. 事業継続性への影響が最小限

   • 特にダウンタイムのコストが大きい環境（例：重要インフラ、緊急サービス、24時間営業のビジネス）で重要です。

欠点

1. セキュリティリスク：失効した証明書が受け入れられる可能性

   • OCSPが利用できないなどの理由でRADIUSサーバーの失効状況検証が失敗すると、失効した証明書が受け入れられる結果になります。

   • これは証明書ベースの認証の信頼モデルを損ない、攻撃者が意図的にOCSPの失敗を引き起こした場合に悪用される可能性があります。

2. システム全体の問題の可視性の欠如

   • システムが黙って失効チェックをバイパスすると、管理者はOCSPレスポンダーがダウンしているか誤設定されていることにすぐには気づかず、脆弱性の期間が長引く可能性があります。

ソフトフェイル 無効

利点

1. 高いセキュリティ保証

   • OCSPレスポンダーに対して肯定的に検証できない証明書はすべて拒否されることを保証します。

   • 失効した、またはその他の方法で侵害された証明書の使用から保護します。

2. 明確な運用上のシグナル

   • 認証が突然失敗し始めた場合、OCSPの可用性や設定の問題に即座に注意を向けさせます。

   • OCSPチェックが成功しない限りユーザーは認証できないため、管理者は接続性や信頼チェーンの問題を即座に把握できます。

欠点

1. 単一障害点

   • OCSPレスポンダーがダウン、DDoS攻撃の対象、到達不能、または誤設定されている場合、 すべての 有効な証明書認証が失敗します。

   • 重大な業務中断やサポートへの大量の問い合わせを引き起こす可能性があります。

2. OCSPサービスの稼働率への依存

   • OCSPサービスは高可用で堅牢に監視されている必要があることを意味します。

   • 大規模な停止を防ぐために徹底したフェイルオーバー計画（例：複数のOCSPレスポンダー、ロードバランシング、冗長化）が必要です。

   • レスポンダーの更新に関する計画が必要

3. ユーザーのフラストレーションが発生する可能性

   • OCSPチェックが完了できないだけで、完全に有効な証明書を持っているユーザーでさえ接続できなくなることがあります。