OCSP ソフトフェイルの影響

メリットとデメリットに入る前に、まずこの設定が何を意味するのかを簡単におさらいしましょう:

注意: これらの例はすべて、申請側が有効な証明書（失効していない、信頼された CA によって発行された）を持っている認証の動作を説明しています。

ソフトフェイル = 有効

タイムアウトや不正なデータなど、OCSP 応答者の問い合わせ時に問題が発生した場合、アプリケーションは証明書失効状態を 'good'.

ソフトフェイル = 無効

タイムアウトや不正なデータなど、OCSP 応答者の問い合わせ時に問題が発生した場合、アプリケーションは証明書失効状態を '失効済み'.

を使用し、 OCSP-Autodetect かつクライアント証明書に OCSP 応答者 URL が含まれていない場合、アプリケーションは証明書失効状態を '失効済み'.

メリットとデメリット

ソフトフェイル有効

メリット

1. 高い可用性と中断の削減

   • 一時的なネットワーク問題や一時的な OCSP 応答者の停止によって、ユーザーが突然認証失敗を経験する可能性が低くなります。

   • ユーザー体験を改善し、OCSP の接続性やサービス問題のみに起因する「接続できない」問題に関するサポート問い合わせを減らします。

2. OCSP サービス停止への高い耐性

   • OCSP ホスティングプロバイダーでダウンタイムや証明書関連の問題が発生しても、認証は引き続き成功します。

3. 事業継続への影響が最小限

   • 特に、ダウンタイムのコストが高い環境（例: 重要インフラ、緊急サービス、または 24 時間 365 日稼働の事業）では重要です。

デメリット

1. セキュリティリスク: 失効した証明書が受け入れられる可能性

   • OCSP が利用できない、またはその他の問題により RADIUS サーバーの失効状態検証に失敗すると、失効した証明書が受け入れられます。

   • これは証明書ベース認証の信頼モデルを損ない、攻撃者が意図的に OCSP 失敗を引き起こした場合に悪用される可能性があります。

2. システム全体の問題の可視性不足

   • システムが失効チェックを黙ってバイパスすると、OCSP 応答者がダウンしている、または設定ミスがあることに管理者がすぐ気付かず、脆弱性のある期間が長引く可能性があります。

ソフトフェイル無効

メリット

1. より高いセキュリティ保証

   • OCSP 応答者に対して正しく検証できない証明書はすべて拒否されます。

   • 失効した、または何らかの形で侵害された証明書の使用を防ぎます。

2. 明確な運用上のシグナル

   • 認証が突然失敗し始めた場合、OCSP の可用性や構成の問題に迅速に注意を向けさせます。

   • OCSP チェックが成功しない限り誰も認証できないため、管理者は接続性や信頼チェーンの問題を即座に把握できます。

デメリット

1. 単一障害点

   • OCSP 応答者がダウンしている、DDoS 攻撃を受けている、到達不能、または設定ミスがある場合、 すべての 有効な証明書の認証は失敗します。

   • 重大な業務停止と大量のサポート問い合わせを引き起こす可能性があります。

2. OCSP サービスの稼働時間への依存

   • OCSP サービスは高可用で、堅牢に監視されている必要があることを意味します。

   • 大規模な停止を防ぐため、十分なフェイルオーバー計画（例: 複数の OCSP 応答者、ロードバランシング、または冗長化）が必要です。

   • 応答者の更新計画が必要

3. ユーザーにとっての苛立ちの可能性

   • OCSP チェックが完了できないという理由だけで、まったく有効な証明書を持っていても接続できません。