Consequências do Soft-fail do OCSP

Antes de nos aprofundarmos nos prós e contras, vamos começar recapitular rapidamente o que esta configuração significa:

Por favor, note: todos esses exemplos descrevem o comportamento de uma autenticação em que o requerente possui um certificado válido (não expirado, emitido por uma AC confiável).

Soft-fail = Ativado

Se ocorrer um problema ao consultar o respondedor OCSP, como um timeout ou dados incorretos, a aplicação trata o estado de revogação do certificado como 'válido'.

Soft-fail = Desativado

Se ocorrer um problema ao consultar o respondedor OCSP, como um timeout ou dados incorretos, a aplicação trata o estado de revogação do certificado como 'revogado'.

Se você usar OCSP-Autodetect e o certificado do cliente não incluir um URL de respondedor OCSP, a aplicação trata o estado de revogação do certificado como 'revogado'.

Prós e Contras

Soft-fail Ativado

Prós

1. Maior disponibilidade e menos interrupções

   • É menos provável que os usuários sofram falhas repentinas de autenticação devido a problemas de rede transitórios ou indisponibilidades temporárias do respondedor OCSP.

   • Melhora a experiência do usuário e reduz as chamadas de suporte relacionadas a problemas de “não consigo conectar” causados apenas por conectividade OCSP ou problemas de serviço.

2. Maior tolerância a indisponibilidades do serviço OCSP

   • Se o provedor que hospeda o OCSP sofrer indisponibilidade ou problemas relacionados ao certificado, as autenticações ainda serão bem-sucedidas.

3. Impacto mínimo na continuidade do negócio

   • Especialmente importante em ambientes em que o tempo de inatividade tem um custo alto (por exemplo, infraestrutura crítica, serviços de emergência ou negócios 24/7).

Contras

1. Risco de segurança: certificados revogados podem ser aceitos

   • Uma falha na verificação do estado de revogação pelo servidor RADIUS, devido à indisponibilidade do OCSP ou a outros problemas, resultará na aceitação de um certificado revogado.

   • Isso enfraquece o modelo de confiança da autenticação baseada em certificado e pode ser explorado se um atacante provocar deliberadamente falhas no OCSP.

2. Falta de visibilidade sobre problemas em todo o sistema

   • Se o sistema contornar silenciosamente as verificações de revogação, os administradores podem não perceber imediatamente que um respondedor OCSP está fora do ar ou mal configurado, prolongando a janela de vulnerabilidade.

Soft-fail Desativado

Prós

1. Maior garantia de segurança

   • Garante que qualquer certificado que não possa ser validado positivamente com o respondedor OCSP seja rejeitado.

   • Protege contra o uso de certificados revogados ou de outra forma comprometidos.

2. Sinais operacionais claros

   • Se a autenticação começar repentinamente a falhar, isso força atenção rápida à disponibilidade ou aos problemas de configuração do OCSP.

   • Os administradores tornam-se imediatamente cientes de quaisquer problemas de conectividade ou da cadeia de confiança, porque nenhum usuário pode autenticar-se a menos que a verificação OCSP seja bem-sucedida.

Contras

1. Ponto único de falha

   • Se o respondedor OCSP estiver fora do ar, for alvo de um ataque DDOS, estiver inacessível ou mal configurado, todas as autenticações com certificado válido falham.

   • Pode causar uma interrupção significativa nos negócios e uma enxurrada de chamadas de suporte.

2. Dependência da disponibilidade do serviço OCSP

   • Implica que o seu serviço OCSP deve ter alta disponibilidade e ser monitorizado de forma robusta.

   • Exige um planeamento completo de failover (por exemplo, vários respondedores OCSP, balanceamento de carga ou redundância) para evitar grandes interrupções.

   • Exige planeamento para atualizar o respondedor

3. Possível frustração para os usuários

   • Os usuários não conseguem conectar-se mesmo tendo certificados perfeitamente válidos, simplesmente porque a verificação OCSP não pode ser concluída.