Consequências do Falha Suave (Soft-fail) do OCSP

Antes de entrarmos nos prós e contras, vamos começar recapitulando rapidamente o que a configuração significa:

Por favor note: Todos esses exemplos descrevem o comportamento de uma autenticação em que o requerente possui um certificado válido (não expirado, emitido por uma CA confiável).

Falha suave = Ativada

Se ocorrer um problema ao consultar o respondedores OCSP, como um timeout ou dados incorretos, a aplicação trata o estado de revogação do certificado como 'bom'.

Falha suave = Desativada

Se ocorrer um problema ao consultar o respondedores OCSP, como um timeout ou dados incorretos, a aplicação trata o estado de revogação do certificado como 'revogado'.

Se você usar OCSP-Autodetectar e o certificado do cliente não incluir uma URL de respondedores OCSP, a aplicação trata o estado de revogação do certificado como 'revogado'.

Prós e Contras

Falha suave Ativada

Prós

1. Maior disponibilidade e menos interrupções

   • Os usuários têm menos probabilidade de experimentar falhas de autenticação súbitas devido a problemas de rede transitórios ou quedas temporárias do respondedores OCSP.

   • Melhora a experiência do usuário e reduz chamadas de suporte relacionadas a problemas de “não é possível conectar” causados exclusivamente por conectividade ou problemas do serviço OCSP.

2. Melhor tolerância a quedas do serviço OCSP

   • Se o provedor que hospeda o OCSP sofrer downtime ou problemas relacionados a certificados, as autenticações ainda terão sucesso.

3. Impacto mínimo na continuidade do negócio

   • Especialmente importante em ambientes onde o tempo de inatividade tem alto custo (por exemplo, infraestrutura crítica, serviços de emergência ou negócios 24/7).

Contras

1. Risco de segurança: certificados revogados podem ser aceitos

   • Uma falha na verificação do status de revogação do servidor RADIUS, devido à indisponibilidade do OCSP ou outros problemas, resultará na aceitação de um certificado revogado.

   • Isso mina o modelo de confiança da autenticação baseada em certificados e pode ser explorado se um atacante deliberadamente causar falhas no OCSP.

2. Falta de visibilidade sobre problemas em todo o sistema

   • Se o sistema contorna silenciosamente as verificações de revogação, os administradores podem não notar imediatamente que um respondedores OCSP está fora do ar ou mal configurado, prolongando a janela de vulnerabilidade.

Falha suave Desativada

Prós

1. Maior garantia de segurança

   • Garante que qualquer certificado que não possa ser positivamente validado junto ao respondedores OCSP seja rejeitado.

   • Protege contra o uso de certificados revogados ou de outra forma comprometidos.

2. Sinais operacionais claros

   • Se a autenticação começar a falhar subitamente, isso força atenção rápida à disponibilidade ou configuração do OCSP.

   • Os administradores passam a estar imediatamente cientes de quaisquer problemas de conectividade ou da cadeia de confiança porque nenhum usuário pode autenticar-se a menos que a verificação OCSP seja bem-sucedida.

Contras

1. Ponto único de falha

   • Se o respondedores OCSP estiver fora do ar, sofrer um ataque DDoS, for inalcançável ou mal configurado, todos as autenticações com certificados válidos falham.

   • Pode causar interrupção significativa nos negócios e um fluxo de chamadas ao suporte.

2. Dependência do tempo de atividade do serviço OCSP

   • Implica que seu serviço OCSP deve ser altamente disponível e monitorado de forma robusta.

   • Exige planejamento de failover abrangente (por exemplo, múltiplos respondedores OCSP, balanceamento de carga ou redundância) para prevenir quedas massivas.

   • Exige planejamento para atualizar o respondedores

3. Possível frustração para os usuários

   • Os usuários não conseguem conectar-se mesmo quando têm certificados perfeitamente válidos, simplesmente porque a verificação OCSP não pode ser concluída.