Saltar al contenido principal
Español

OCSP y revocación de certificados para autenticación de WiFi

Esta guía exhaustiva explora los mecanismos críticos de revocación de certificados en entornos WiFi empresariales, centrándose en la transición de las CRL a OCSP. Ofrece estrategias de implementación prácticas para equipos de TI que gestionan redes a gran escala y de alta densidad, donde la seguridad en tiempo real y la baja latencia son primordiales.

📖 6 min de lectura📝 1,362 palabras🔧 2 ejemplos prácticos3 preguntas de práctica📚 8 definiciones clave

Escuchar esta guía

Ver transcripción del podcast
Te damos la bienvenida al Informe Técnico de Purple. Soy tu presentador y hoy vamos a analizar en profundidad un mecanismo de seguridad fundamental para las redes WiFi empresariales: el protocolo OCSP y la revocación de certificados. Si eres responsable de TI, arquitecto de redes o director de tecnología y gestionas despliegues a gran escala en el sector hotelero, comercial o público, ya sabes que la autenticación basada en certificados (especialmente EAP-TLS sobre 802.1X) es el estándar de oro para proteger el acceso a la red. Pero ¿qué ocurre cuando un dispositivo se ve comprometido, se pierde o un empleado se marcha de la empresa? ¿Cómo se garantiza que la red rechace de forma instantánea un certificado revocado? Eso es exactamente lo que vamos a tratar hoy. Analizaremos en detalle las diferencias entre CRL y OCSP, explicaremos cómo comprueba un servidor RADIUS el estado de revocación, exploraremos el concepto de OCSP stapling en el contexto de las redes WiFi y ofreceremos estrategias de implementación prácticas. Comencemos por lo básico: CRL frente a OCSP. Cuando un dispositivo se conecta a tu WiFi mediante un certificado, el servidor RADIUS debe verificar no solo que el certificado sea matemáticamente válido y no haya caducado, sino también que la entidad emisora de certificados (CA) no lo haya revocado explícitamente. Históricamente, esto se hacía mediante una lista de revocación de certificados, o CRL. Una CRL es exactamente lo que parece: un archivo de gran tamaño que contiene los números de serie de todos los certificados revocados. El servidor RADIUS descarga esta lista de forma periódica, por ejemplo, una vez al día o cada pocas horas. El problema de las listas CRL en los entornos de alta densidad actuales es doble: la latencia y el ancho de banda. Si tienes un despliegue de PKI de gran envergadura, esa lista adquiere un tamaño enorme. Descargarla consume ancho de banda y analizarla requiere ciclos de CPU en tu servidor RADIUS. Lo que es peor, existe una ventana de vulnerabilidad. Si un dispositivo se ve comprometido a las 9:00, pero el servidor RADIUS no descarga la nueva CRL hasta el mediodía, ese dispositivo comprometido tendrá tres horas de acceso sin restricciones a tu red. Aquí es donde entra en juego OCSP (Online Certificate Status Protocol, o protocolo de estado de certificado en línea). OCSP es una consulta dirigida y en tiempo real. En lugar de descargar una lista enorme con todos los certificados revocados, el servidor RADIUS simplemente pregunta al respondedor OCSP de la CA: "Oye, ¿es válido este número de serie de certificado concreto en este mismo instante?". El respondedor contesta con un mensaje firmado: "Válido", "Revocado" o "Desconocido". Esto reduce drásticamente el ancho de banda y la sobrecarga de procesamiento en el servidor RADIUS. Y lo que es más importante, cierra la ventana de vulnerabilidad. Las revocaciones se aplican de inmediato. Entonces, ¿cómo funciona esto en un flujo de autenticación WiFi? Cuando un dispositivo cliente (por ejemplo, un portátil de la empresa) intenta conectarse a la WiFi, se comunica con el punto de acceso inalámbrico. El punto de acceso actúa como autenticador, transmitiendo los mensajes EAP-TLS al servidor RADIUS. El ordenador portátil presenta su certificado de cliente. El servidor RADIUS valida la firma criptográfica con su CA raíz de confianza. A continuación, el servidor RADIUS pausa el proceso de autenticación. Se comunica a través de la red con la URI del respondedor OCSP integrada en el certificado del cliente. Espera la respuesta. Si la respuesta es "Good", el servidor RADIUS envía un mensaje Access-Accept de vuelta al AP y el portátil se conecta. Si la respuesta es "Revoked", envía un Access-Reject. Ahora bien, puede que esté pensando: "¿No añade esto latencia al proceso de conexión?". Sí, es así. Cada autenticación requiere una búsqueda de DNS externa y una solicitud HTTP al respondedor OCSP. En un estadio concurrido o en un gran hotel durante las horas punta de registro de entrada, esto puede provocar tiempos de espera de autenticación agotados. Esto nos lleva a un concepto crucial: OCSP Stapling. En el mundo de los servidores web, el OCSP stapling es habitual. El servidor web consulta periódicamente al respondedor OCSP el estado de su propio certificado, obtiene una respuesta firmada y con marca de tiempo, y "grapa" (staples) esa respuesta al certificado que envía al cliente durante el protocolo de enlace TLS. El cliente no tiene que consultar a la CA; simplemente verifica la firma de la CA en la respuesta grapada. ¿Podemos hacer esto para el WiFi? Sí, pero es complejo. En EAP-TLS, el servidor RADIUS también presenta un certificado de servidor al cliente, de modo que el cliente sabe que se está comunicando con la red legítima y no con un AP gemelo malicioso (evil twin). El servidor RADIUS puede utilizar OCSP stapling en este caso. Consulta a la CA su propio estado y grapa la respuesta en el Server Hello de EAP-TLS. Esto evita que el dispositivo del cliente tenga que realizar una búsqueda OCSP en el certificado del servidor RADIUS. Sin embargo, grapar el estado del certificado del *cliente* es diferente. El cliente no puede grapar su propio estado porque la red aún no confía en él. Por lo tanto, para la validación del certificado del cliente, el servidor RADIUS todavía tiene que realizar la consulta OCSP tradicional. Para mitigar la latencia de estas consultas, los servidores RADIUS empresariales utilizan el almacenamiento en caché. Almacenarán en caché una respuesta OCSP "Good" durante un periodo de tiempo configurable, por ejemplo, 15 minutos o una hora. Esto significa que los eventos de itinerancia (roaming) o las reconexiones posteriores no activan una nueva consulta externa, equilibrando la seguridad con el rendimiento. Veamos un escenario de implementación en el mundo real. Imagine una gran cadena de tiendas con miles de dispositivos de punto de venta y portátiles corporativos que se conectan a través de EAP-TLS. Están implementando la plataforma WiFi de Purple. Necesitan una seguridad estricta, pero no pueden permitirse que los dispositivos POS agoten el tiempo de espera durante la autenticación. Este es el enfoque recomendado: En primer lugar, asegúrese de que su infraestructura de CA sea sólida. Sus respondedores OCSP deben ser de alta disponibilidad, idealmente detrás de un equilibrador de carga y distribuidos geográficamente. Si su servidor RADIUS no puede comunicarse con el respondedor OCSP, debe decidir si "falla en abierto" (permite la conexión) o "falla en cerrado" (deniega la conexión). En entornos de alta seguridad, se falla en cerrado. Pero si su respondedor OCSP se cae, nadie se conecta al WiFi. Segundo, configure el almacenamiento en caché de OCSP en sus servidores RADIUS. Una caché de 30 minutos es un buen término medio. Reduce significativamente la carga en su CA y acelera las autenticaciones, manteniendo la ventana de revocación razonablemente acotada. Tercero, implemente un mecanismo de respaldo. Configure su servidor RADIUS para intentar primero con OCSP. Si el respondedor OCSP no está disponible, recurra a una CRL almacenada en caché localmente. Esto proporciona resiliencia frente a caídas de la CA. Finalmente, considere el impacto de la expiración de los certificados. La expiración no es lo mismo que la revocación. Un certificado simplemente alcanza su fecha "Not After". Su servidor RADIUS lo rechazará automáticamente, sin necesidad de consultar OCSP o una CRL. El desafío operativo aquí es la gestión del ciclo de vida: garantizar que los certificados se renueven e instalen en los dispositivos *antes* de que expiren. Pasemos a una ronda rápida de preguntas y respuestas basadas en las dudas más frecuentes de los clientes. Pregunta 1: "Utilizamos un MDM basado en la nube para implementar certificados. ¿Seguimos necesitando OCSP?" Respuesta: Absolutamente. Su MDM emite el certificado, pero el servidor RADIUS es el que aplica el acceso a la red. Si borra un dispositivo en su MDM, este le indica a la CA que revoque el certificado. Sin embargo, hasta que el servidor RADIUS no verifique ese estado de revocación a través de OCSP, el dispositivo aún podrá conectarse a la WiFi. Pregunta 2: "¿Qué ocurre si un dispositivo está sin conexión cuando revocamos su certificado?" Respuesta: No importa si el dispositivo está sin conexión. La revocación se realiza a nivel de CA. La próxima vez que ese dispositivo intente conectarse a la WiFi, el servidor RADIUS consultará el OCSP, verá el estado "Revoked" (Revocado) y denegará el acceso. Pregunta 3: "¿Está cifrado el tráfico de OCSP?" Respuesta: Históricamente, las solicitudes OCSP se enviaban mediante HTTP simple. Esto se consideraba aceptable porque la respuesta en sí está firmada criptográficamente por la CA, lo que evita la manipulación. No obstante, las implementaciones modernas utilizan cada vez más HTTPS para proteger la privacidad, evitando que observadores externos vean qué certificados se están verificando. Para resumir y definir los siguientes pasos: La revocación de certificados es un componente ineludible en una implementación segura de 802.1X. Aunque las CRL son aceptables para redes pequeñas, OCSP es fundamental a escala empresarial, ya que ofrece seguridad en tiempo real y un menor consumo de ancho de banda. Como siguientes pasos: 1. Audite su configuración actual de RADIUS. ¿Está verificando el estado de revocación de algún modo? 2. Si está utilizando CRL, evalúe el tamaño de su lista y la frecuencia de descarga. 3. Planifique la migración a OCSP. Asegúrese de que la infraestructura de su CA pueda soportar la carga de consultas y configure una caché razonable en sus servidores RADIUS para optimizar el rendimiento. Al implementar una verificación OCSP sólida, se asegura de que su implementación de Purple WiFi siga siendo segura, cumpla con las normativas y sea eficiente, otorgándole un control absoluto sobre quién —y qué— puede acceder a su red. Gracias por escuchar esta Sesión Técnica de Purple.

header_image.png

Resumen Ejecutivo

Para los espacios empresariales que operan redes WiFi de alta densidad —desde extensas cadenas de retail hasta modernos centros de conferencias—, la autenticación basada en certificados (EAP-TLS) es el estándar definitivo para asegurar el acceso a la red. Sin embargo, emitir un certificado es solo la mitad de su ciclo de vida. El desafío operativo crítico radica en la revocación: garantizar que cuando un dispositivo se vea comprometido, se pierda o se retire del servicio, su acceso a la red se interrumpa de inmediato. Esta guía explora la arquitectura técnica de la revocación de certificados, contrastando las listas de revocación de certificados (CRL) heredadas con el Protocolo de Estado de Certificados en Línea (OCSP). Detallamos cómo se integran los servidores RADIUS con la Infraestructura de Clave Pública (PKI) para aplicar la revocación en tiempo real, las complejidades de la opción de engrapado OCSP (OCSP stapling) en un contexto 802.1X y los modelos de despliegue estratégico necesarios para equilibrar una seguridad estricta con una experiencia de usuario fluida. Al implementar una verificación OCSP sólida, los operadores de espacios pueden mitigar riesgos, garantizar el cumplimiento normativo y mantener el alto rendimiento requerido para el Guest WiFi y el acceso empresarial.

Escuche nuestro informe ejecutivo de 10 minutos sobre este tema:

Análisis Técnico Detallado

El Funcionamiento de la Revocación en 802.1X

En un flujo de autenticación 802.1X, el punto de acceso inalámbrico (AP) actúa como autenticador, pasando mensajes del Protocolo de Autenticación Extensible (EAP) entre el dispositivo cliente (suplicante) y el servidor RADIUS. Cuando un cliente presenta un certificado durante el protocolo de acuerdo (handshake) EAP-TLS, el servidor RADIUS debe validar su integridad criptográfica, verificar su cadena de confianza y confirmar su estado de revocación actual.

Históricamente, esto se lograba mediante una Lista de Revocación de Certificados (CRL). Una CRL es un archivo firmado digitalmente que contiene los números de serie de todos los certificados revocados emitidos por una Autoridad de Certificación (CA) específica. El servidor RADIUS descarga este archivo periódicamente y lo almacena localmente en caché. Aunque es sencillo de implementar, las CRL presentan desafíos de escalabilidad significativos. En grandes entornos empresariales, como los que se encuentran en el sector de Retail , las CRL pueden llegar a ocupar megabytes. Descargar y analizar estas listas consume ancho de banda y ciclos de procesamiento. Lo que es más crítico, las CRL introducen una ventana de vulnerabilidad: el tiempo transcurrido entre la revocación de un certificado en la CA y la descarga de la lista actualizada por parte del servidor RADIUS.

La Transición a OCSP

Para abordar las limitaciones de las CRL, se desarrolló el Protocolo de Estado de Certificados en Línea (OCSP). El OCSP sustituye el modelo de descarga masiva por un mecanismo de consulta dirigida en tiempo real. Cuando un cliente presenta un certificado, el servidor RADIUS extrae el URI del responsable de respuesta OCSP de la extensión de Acceso a la Información de la Autoridad (AIA) del certificado. A continuación, envía una solicitud HTTP ligera al responsable de respuesta, consultando el estado de ese número de serie de certificado específico. El responsable de respuesta devuelve una respuesta firmada que indica si el certificado es «Bueno», «Revocado» o «Desconocido».

Este enfoque elimina el margen de vulnerabilidad asociado a las CRL, aplicando las revocaciones de forma inmediata. También reduce significativamente el consumo de ancho de banda, ya que el servidor RADIUS solo solicita datos para los certificados que intentan autenticarse activamente.

crl_vs_ocsp_comparison.png

OCSP Stapling en entornos WiFi

El OCSP stapling es una técnica de optimización del rendimiento muy utilizada en servidores web. En lugar de que el cliente consulte al responsable de respuesta OCSP, el servidor consulta periódicamente al responsable de respuesta sobre el estado de su propio certificado. A continuación, «grapa» (staples) la respuesta firmada al certificado que presenta al cliente durante el protocolo de enlace TLS. Esto traslada la carga de la consulta del cliente al servidor y reduce el número de conexiones de red externas necesarias.

En el contexto de la autenticación WiFi, el OCSP stapling es muy relevante pero presenta ciertos matices. Durante el proceso EAP-TLS, el servidor RADIUS presenta su propio certificado de servidor al cliente para demostrar su identidad. El servidor RADIUS puede utilizar el OCSP stapling en este punto, adjuntando la respuesta OCSP al mensaje Server Hello de EAP-TLS. Esto permite al dispositivo cliente verificar el estado de revocación del servidor RADIUS sin necesidad de disponer de su propia conexión a internet, una función fundamental para los dispositivos a los que aún no se les ha concedido acceso a la red.

Sin embargo, no es viable grapar el estado del certificado del cliente. El cliente no puede grapar su propio estado porque la red aún no confía en él. Por lo tanto, para la validación del certificado del cliente, el servidor RADIUS debe realizar una consulta OCSP tradicional a la CA.

ocsp_stapling_architecture.png

Guía de implementación

La implementación de OCSP en un entorno empresarial de alta densidad requiere una planificación arquitectónica minuciosa para garantizar tanto la seguridad como la disponibilidad. Los siguientes pasos describen una estrategia de implementación sólida.

1. Infraestructura de CA de alta disponibilidad

La transición a OCSP introduce una dependencia crítica de la infraestructura del respondedor de la CA. Si el servidor RADIUS no puede comunicarse con el respondedor OCSP, no podrá verificar de forma definitiva el estado del certificado. Por lo tanto, el respondedor OCSP debe ser altamente disponible, estar distribuido geográficamente y colocarse detrás de equilibradores de carga para gestionar picos de autenticación, como los que se experimentan durante un gran congreso o evento deportivo.

2. Configuración del Servidor RADIUS y Almacenamiento en Caché

Para mitigar la latencia introducida por las consultas OCSP en tiempo real, los servidores RADIUS empresariales deben configurarse con mecanismos inteligentes de almacenamiento en caché. Cuando un servidor RADIUS recibe una respuesta "Good" (Válida) del respondedor OCSP, debe almacenar en caché dicha respuesta durante un periodo configurable, normalmente entre 15 y 60 minutos. Las solicitudes de autenticación posteriores del mismo cliente dentro de ese intervalo se validarán con la caché, evitando la consulta externa. Esto equilibra la necesidad de seguridad en tiempo real con los requisitos de rendimiento de una red con mucho tráfico.

3. Mecanismos de Failover y Resiliencia

Los arquitectos de red deben definir el comportamiento del servidor RADIUS en caso de que el respondedor OCSP no esté disponible. Esto se conoce como "fail open" (fallo con apertura) frente a "fail closed" (fallo con cierre). En una configuración "fail closed", el servidor RADIUS denegará el acceso si no puede verificar el estado del certificado. Esta es la postura más segura, pero entraña el riesgo de sufrir interrupciones generalizadas si la infraestructura de la CA falla. En una configuración "fail open", el servidor RADIUS permitirá el acceso si el respondedor es inaccesible, priorizando la disponibilidad sobre la seguridad estricta.

Un enfoque híbrido recomendado consiste en configurar el servidor RADIUS para que intente primero una consulta OCSP. Si el respondedor no está disponible, el servidor recurre a una CRL almacenada localmente en caché. Esto proporciona resiliencia frente a caídas de la CA al tiempo que mantiene un nivel básico de comprobación de revocaciones.

Buenas Prácticas

  • Minimizar la vida útil de los certificados: Aunque la revocación gestiona la invalidación prematura, el control de seguridad más eficaz es una vida útil corta del certificado. Implemente el aprovisionamiento automatizado de certificados a través de MDM para emitir certificados válidos por días o semanas, en lugar de años. Esto reduce por completo la dependencia de los mecanismos de revocación. Para obtener más información sobre la seguridad de los dispositivos modernos, consulte nuestra guía sobre Autenticación 802.1X: Protección del acceso a la red en dispositivos modernos .
  • Monitorizar la latencia de OCSP: Supervise continuamente la latencia de las consultas OCSP desde sus servidores RADIUS a la infraestructura de la CA. Una latencia alta afectará directamente a la experiencia del usuario, provocando tiempos de espera de autenticación agotados y conexiones caídas.
  • Implementar controles estrictos de acceso a la CA: La seguridad de su red WiFi está intrínsecamente ligada a la seguridad de su CA. Asegúrese de que existan controles de acceso estrictos, autenticación multifactor y auditorías exhaustivas para todas las interfaces de gestión de la CA.

Resolución de problemas y mitigación de riesgos

Al desplegar OCSP, los equipos de TI suelen encontrarse con varios modos de fallo habituales:

  • Tiempos de espera de autenticación agotados (Timeouts): Si el respondedor OCSP tarda en responder, el protocolo de enlace EAP-TLS puede agotar el tiempo de espera. Esto suele deberse a la congestión de la red o a una infraestructura de CA con recursos insuficientes. La mitigación pasa por optimizar la caché de OCSP en el servidor RADIUS y dimensionar adecuadamente la infraestructura del respondedor.
  • Desviación de la hora (Clock Skew): Las respuestas OCSP llevan marca de tiempo y firma. Si el reloj del servidor RADIUS no está sincronizado con el de la CA, el servidor puede rechazar una respuesta OCSP válida por considerarla caducada. Asegúrese de que todos los componentes de la infraestructura estén sincronizados mediante servidores NTP fiables.
  • Bloqueo de cortafuegos: Las consultas OCSP suelen utilizar HTTP (puerto 80) o HTTPS (puerto 443). Asegúrese de que los cortafuegos entre el servidor RADIUS y la infraestructura de la CA estén configurados para permitir este tráfico. Las implementaciones modernas utilizan cada vez más HTTPS para proteger la privacidad y evitar que observadores de la red analicen las consultas de certificados.

ROI e impacto empresarial

La implementación de mecanismos robustos de revocación de certificados aporta un valor empresarial mensurable que va más allá del mero cumplimiento de la seguridad.

  • Mitigación de riesgos: Al eliminar la ventana de vulnerabilidad asociada a las CRL, OCSP reduce significativamente el riesgo de que un dispositivo comprometido acceda a recursos corporativos sensibles. Esto protege la propiedad intelectual y mitiga el daño financiero y de reputación de una brecha de datos.
  • Eficiencia operativa: La automatización de las comprobaciones de revocación a través de OCSP reduce la carga administrativa asociada a la gestión de enormes archivos CRL. Los equipos de TI pueden centrarse en iniciativas estratégicas en lugar de solucionar fallos de descarga de CRL.
  • Facilitación del cumplimiento normativo: Para los establecimientos que operan en sectores regulados, como el de la salud o el financiero, los controles de acceso estrictos y la revocación en tiempo real suelen ser requisitos de cumplimiento obligatorios (por ejemplo, HIPAA, PCI DSS). Un despliegue robusto de OCSP garantiza el cumplimiento continuo y simplifica los procesos de auditoría.

Definiciones clave

OCSP (Online Certificate Status Protocol)

Un protocolo de internet utilizado para obtener en tiempo real el estado de revocación de un certificado digital X.509.

Utilizado por los servidores RADIUS para verificar instantáneamente si el certificado de un dispositivo ha sido revocado, eliminando la ventana de vulnerabilidad asociada a las CRL heredadas.

CRL (Certificate Revocation List)

Una lista firmada digitalmente y actualizada periódicamente de números de serie de certificados que han sido revocados por la Autoridad de Certificación emisora.

El método heredado para la comprobación de revocación. Sufre de problemas de escalabilidad e introduce una ventana de vulnerabilidad entre actualizaciones.

OCSP Stapling

Un mecanismo mediante el cual el presentador del certificado (por ejemplo, un servidor RADIUS) obtiene una respuesta OCSP con marca de tiempo de la CA y la adjunta al certificado durante el intercambio TLS.

Utilizado para mejorar el rendimiento y la privacidad al descargar el proceso de consulta OCSP del dispositivo cliente.

EAP-TLS (Extensible Authentication Protocol - Transport Layer Security)

Un método de autenticación 802.1X altamente seguro que requiere autenticación mutua basada en certificados entre el cliente y el servidor RADIUS.

El protocolo estándar utilizado en entornos WiFi corporativos que requiere una verificación robusta de la revocación de certificados.

Vulnerability Window (Ventana de vulnerabilidad)

El periodo de tiempo que transcurre entre la revocación de un certificado en la CA y el momento en que el sistema de control (por ejemplo, el servidor RADIUS) tiene constancia de dicha revocación.

Uno de los principales motivos para adoptar OCSP en lugar de CRL, ya que OCSP reduce eficazmente esta ventana a casi cero.

Fail Open vs. Fail Closed

Una decisión de configuración que determina el comportamiento del sistema cuando una dependencia (como un respondedor OCSP) no está accesible. "Fail open" permite el acceso; "fail closed" deniega el acceso.

Una decisión de arquitectura crítica para los equipos de TI que deben equilibrar la disponibilidad de la red con un cumplimiento estricto de la seguridad.

AIA (Authority Information Access)

Una extensión dentro de un certificado X.509 que indica cómo acceder a la información y servicios del emisor del certificado, incluido el URI del respondedor OCSP.

El servidor RADIUS lee esta extensión para determinar exactamente a dónde enviar la consulta OCSP para un certificado de cliente específico.

Supplicant (Suplicante)

El cliente de software en un dispositivo (por ejemplo, un ordenador portátil o un smartphone) que intenta acceder a la red y responde a las solicitudes de autenticación.

La entidad que presenta el certificado de cliente que el servidor RADIUS debe validar contra el respondedor OCSP.

Ejemplos prácticos

Un hotel de lujo de 500 habitaciones en el sector de la [hostelería](/industries/hospitality) está actualizando la red WiFi interna de su personal para utilizar EAP-TLS en los dispositivos de los empleados. Actualmente utilizan un servidor RADIUS centralizado en su centro de datos corporativo, conectado a través de SD-WAN. Les preocupa que las consultas OCSP en tiempo real a su CA basada en la nube causen tiempos de espera de autenticación agotados (timeouts) durante los cambios de turno, cuando cientos de empleados se conectan simultáneamente.

La implementación debe priorizar la autenticación de baja latencia sin comprometer la seguridad. La solución consta de tres pasos: 1) Desplegar un proxy RADIUS localizado en las instalaciones del hotel para gestionar la terminación EAP inicial. 2) Configurar el proxy RADIUS para realizar consultas OCSP y almacenar en caché las respuestas "Good" durante 60 minutos. 3) Implementar un mecanismo de respaldo (fallback) en el que el proxy RADIUS dependa de una CRL descargada localmente a diario si falla el enlace SD-WAN con la CA en la nube.

Comentario del examinador: Este enfoque mitiga eficazmente el riesgo de latencia. Al almacenar en caché las respuestas OCSP localmente en el extremo (edge), el hotel evita enviar cientos de consultas simultáneas a través de la WAN durante un cambio de turno. El intervalo de caché de 60 minutos es un compromiso pragmático que mantiene pequeña la ventana de vulnerabilidad al tiempo que garantiza una alta disponibilidad. El respaldo con CRL proporciona una resiliencia crítica contra los cortes de la WAN, garantizando que el personal pueda seguir autenticándose incluso si la CA en la nube no está disponible temporalmente. Esta arquitectura se alinea con los principios analizados en nuestro artículo sobre [Los beneficios principales de SD WAN para las empresas modernas](/blog/sd-wan-benefits).

Una gran organización del sector público está desplegando [Sensors](/products/sensors) en varios edificios municipales. Estos dispositivos IoT se autentican mediante 802.1X utilizando certificados con una vida útil de 5 años. El equipo de seguridad de TI exige la desconexión inmediata de la red si se denuncia el robo de un sensor.

Dada la larga vida útil de los certificados, una revocación sólida es fundamental. La organización debe configurar sus servidores RADIUS para realizar consultas OCSP obligatorias para cada solicitud de autenticación de la VLAN de sensores. El almacenamiento en caché debe desactivarse o configurarse con una duración muy corta (por ejemplo, 5 minutos). Los servidores RADIUS deben configurarse para "denegar por defecto" (fail closed): si el respondedor OCSP no está accesible, se le deniega el acceso al sensor.

Comentario del examinador: Aunque por lo general no se recomiendan los certificados de larga duración, son habituales en los despliegues de IoT debido a la dificultad de la renovación automatizada. En este escenario, OCSP es el único control de seguridad eficaz. Desactivar el almacenamiento en caché garantiza que un certificado revocado sea rechazado casi de inmediato en el siguiente intento de autenticación. La configuración de "denegar por defecto" prioriza la seguridad sobre la disponibilidad, lo que resulta adecuado dado el riesgo de que un sensor físico comprometido sirva de cabeza de puente en la red municipal.

Preguntas de práctica

Q1. Su organización está migrando de una descarga diaria de CRL a la comprobación de OCSP en tiempo real para su WiFi corporativo. Durante la fase piloto, nota un aumento significativo en los tiempos de espera de autenticación, especialmente para los usuarios que realizan roaming entre edificios. ¿Cuál es la causa más probable y la mitigación recomendada?

Sugerencia: Considere la latencia introducida por las consultas a redes externas durante el saludo EAP-TLS.

Ver respuesta modelo

Los tiempos de espera probablemente se deban a la latencia que supone realizar una consulta HTTP externa al servidor de respuesta OCSP para cada evento de autenticación, incluidos los reconectados rápidos durante el roaming. La mitigación recomendada es configurar el almacenamiento en caché de OCSP en el servidor RADIUS. Al almacenar en caché las respuestas "Good" durante un período (por ejemplo, 30 minutos), los eventos de roaming posteriores se validarán localmente con la caché, eliminando la latencia de la consulta externa y evitando los tiempos de espera.

Q2. Una auditoría de seguridad crítica requiere que ningún dispositivo comprometido pueda acceder a la red durante más de 5 minutos después de que se revoque su certificado en la plataforma MDM. Su servidor RADIUS está configurado para usar OCSP con una caché de 60 minutos. ¿Cumple esta configuración con el requisito de la auditoría?

Sugerencia: Analice la relación entre la duración de la caché y la ventana de vulnerabilidad.

Ver respuesta modelo

No, esta configuración no cumple con el requisito de la auditoría. La caché de 60 minutos genera una ventana de vulnerabilidad de hasta una hora. Si un dispositivo se autentica y su estado "Good" se almacena en caché, y el certificado se revoca 1 minuto después, el servidor RADIUS seguirá permitiendo el acceso durante los 59 minutos restantes en función de la respuesta almacenada en caché. Para cumplir con el requisito de 5 minutos, la duración de la caché de OCSP debe reducirse a 5 minutos o menos, aunque esto aumentará la carga de consultas en la infraestructura de la CA.

Q3. Durante una interrupción importante del ISP, su servidor de respuesta OCSP basado en la nube deja de estar disponible. Su servidor RADIUS está configurado para la comprobación de OCSP con una política de "bloquear por fallo" (fail closed). ¿Cuál es el impacto en la red y cómo podría mejorarse la arquitectura para garantizar la resiliencia?

Sugerencia: Considere las implicaciones de "bloquear por fallo" (fail closed) cuando una dependencia crítica no está disponible.

Ver respuesta modelo

El impacto es una interrupción total para todas las nuevas autenticaciones de WiFi. Dado que el servidor RADIUS no puede comunicarse con el servidor de respuesta y está configurado para "bloquear por fallo", denegará todas las solicitudes de acceso. Para mejorar la resiliencia, la arquitectura debería implementar un mecanismo de respaldo. El servidor RADIUS debe configurarse para intentar primero la validación OCSP y, si no está disponible, recurrir a una CRL almacenada localmente. Esto permite que las autenticaciones continúen utilizando el último estado de revocación correcto conocido durante la interrupción del ISP.

Continúe leyendo esta serie

Cómo configurar SCEP para el registro automatizado de certificados WiFi corporativos

Esta guía explica cómo configurar SCEP (Simple Certificate Enrollment Protocol) para el registro automatizado de certificados WiFi corporativos, abarcando toda la arquitectura desde PKI y NDES hasta el despliegue de perfiles MDM y la validación RADIUS. Está dirigida a directores de TI, arquitectos de red y CTO de hoteles, cadenas de retail, estadios, centros de conferencias y organizaciones del sector público que necesitan ir más allá de las claves precompartidas e implementar una autenticación 802.1X EAP-TLS escalable y basada en la identidad. La plataforma de superposición en la nube de Purple, que es independiente del hardware, se integra directamente con esta arquitectura, proporcionando la capa de WiFi para invitados y BYOD que coexiste junto a la red de personal autenticada por certificado.

Leer la guía →

La guía empresarial de SCEP: Despliegue de Simple Certificate Enrollment Protocol para la seguridad automatizada de WiFi en campus

Esta guía de referencia técnica proporciona un diseño arquitectónico definitivo y una estrategia de implementación paso a paso para el despliegue de certificados WiFi empresariales mediante SCEP. Cubre las diferencias críticas entre SCEP y PKCS, la secuencia exacta de despliegue requerida para el éxito y estrategias reales de mitigación de riesgos para líderes de TI.

Leer la guía →

Cómo implementar SCEP para el registro automatizado de certificados WiFi

Esta guía explica cómo implementar SCEP (Simple Certificate Enrollment Protocol) para el registro automatizado de certificados WiFi en entornos empresariales. Cubre el diseño arquitectónico completo, desde el diseño de PKI y la integración con MDM hasta la secuencia de despliegue obligatoria de tres pasos, y muestra a los responsables de TI y arquitectos de red cómo eliminar las credenciales compartidas, automatizar la gestión del ciclo de vida de los certificados y cumplir con los requisitos de PCI DSS y GDPR a escala.

Leer la guía →