# Consequências do Soft-fail do OCSP Antes de nos aprofundarmos nos prós e contras, vamos começar recapitular rapidamente o que esta configuração significa: Por favor, note: todos esses exemplos descrevem o comportamento de uma autenticação em que o requerente possui um certificado válido (não expirado, emitido por uma AC confiável). #### Soft-fail = Ativado Se ocorrer um problema ao consultar o respondedor OCSP, como um timeout ou dados incorretos, a aplicação trata o estado de revogação do certificado como '**válido**'. #### Soft-fail = Desativado Se ocorrer um problema ao consultar o respondedor OCSP, como um timeout ou dados incorretos, a aplicação trata o estado de revogação do certificado como '**revogado**'. Se você usar **OCSP-Autodetect** e o certificado do cliente não incluir um URL de respondedor OCSP, a aplicação trata o estado de revogação do certificado como '**revogado**'. ## Prós e Contras ### Soft-fail Ativado #### Prós 1. **Maior disponibilidade e menos interrupções** * É menos provável que os usuários sofram falhas repentinas de autenticação devido a problemas de rede transitórios ou indisponibilidades temporárias do respondedor OCSP. * Melhora a experiência do usuário e reduz as chamadas de suporte relacionadas a problemas de “não consigo conectar” causados apenas por conectividade OCSP ou problemas de serviço. 2. **Maior tolerância a indisponibilidades do serviço OCSP** * Se o provedor que hospeda o OCSP sofrer indisponibilidade ou problemas relacionados ao certificado, as autenticações ainda serão bem-sucedidas. 3. **Impacto mínimo na continuidade do negócio** * Especialmente importante em ambientes em que o tempo de inatividade tem um custo alto (por exemplo, infraestrutura crítica, serviços de emergência ou negócios 24/7). #### Contras 1. **Risco de segurança: certificados revogados podem ser aceitos** * Uma falha na verificação do estado de revogação pelo servidor RADIUS, devido à indisponibilidade do OCSP ou a outros problemas, resultará na aceitação de um certificado revogado. * Isso enfraquece o modelo de confiança da autenticação baseada em certificado e pode ser explorado se um atacante provocar deliberadamente falhas no OCSP. 2. **Falta de visibilidade sobre problemas em todo o sistema** * Se o sistema contornar silenciosamente as verificações de revogação, os administradores podem não perceber imediatamente que um respondedor OCSP está fora do ar ou mal configurado, prolongando a janela de vulnerabilidade. ### Soft-fail Desativado #### Prós 1. **Maior garantia de segurança** * Garante que qualquer certificado que não possa ser validado positivamente com o respondedor OCSP seja rejeitado. * Protege contra o uso de certificados revogados ou de outra forma comprometidos. 2. **Sinais operacionais claros** * Se a autenticação começar repentinamente a falhar, isso força atenção rápida à disponibilidade ou aos problemas de configuração do OCSP. * Os administradores tornam-se imediatamente cientes de quaisquer problemas de conectividade ou da cadeia de confiança, porque nenhum usuário pode autenticar-se a menos que a verificação OCSP seja bem-sucedida. #### Contras 1. **Ponto único de falha** * Se o respondedor OCSP estiver fora do ar, for alvo de um ataque DDOS, estiver inacessível ou mal configurado, **todas** as autenticações com certificado válido falham. * Pode causar uma interrupção significativa nos negócios e uma enxurrada de chamadas de suporte. 2. **Dependência da disponibilidade do serviço OCSP** * Implica que o seu serviço OCSP deve ter alta disponibilidade e ser monitorizado de forma robusta. * Exige um planeamento completo de failover (por exemplo, vários respondedores OCSP, balanceamento de carga ou redundância) para evitar grandes interrupções. * Exige planeamento para atualizar o respondedor 3. **Possível frustração para os usuários** * Os usuários não conseguem conectar-se mesmo tendo certificados perfeitamente válidos, simplesmente porque a verificação OCSP não pode ser concluída. --- # Agent Instructions: Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://docs.radiusaas.com/pt/outro/faqs/consequencias-do-soft-fail-do-ocsp.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.