Passer au contenu principal
Français

Automatisation de la révocation des certificats avec OCSP et CRL dans un environnement NAC

Ce guide de référence technique fournit aux responsables informatiques et aux architectes réseau une analyse complète de l'automatisation de la révocation des certificats dans un environnement de contrôle d'accès au réseau (NAC). Il explore les compromis architecturaux entre OCSP et CRL, propose des conseils de mise en œuvre indépendants des fournisseurs et présente l'impact commercial de l'application des politiques en temps réel.

📖 6 min de lecture📝 1,437 mots🔧 2 exemples concrets3 questions d'entraînement📚 8 définitions clés

Écouter ce guide

Voir la transcription du podcast
Automatiser la révocation des certificats avec OCSP et CRL dans un environnement NAC Un briefing technique Purple — Environ 10 minutes --- INTRODUCTION ET CONTEXTE — environ 1 minute Bienvenue dans la série de briefings techniques Purple. Je suis votre hôte, et nous abordons aujourd'hui les mécanismes de l'automatisation de la révocation des certificats — plus précisément le fonctionnement d'OCSP et des CRL dans un environnement de contrôle d'accès au réseau (NAC), et pourquoi réussir cette mise en œuvre est l'une des décisions de sécurité les plus négligées dans les déploiements WiFi d'entreprise. Si vous gerez une chaîne hôtelière, un réseau de points de vente, un stade ou un réseau du secteur public avec des centaines ou des milliers d'appareils connectés, la gestion du cycle de vie des certificats n'est pas une option. C'est ce qui fait la différence entre un réseau qui applique ses politiques en temps réel et un autre qui héberge discrètement des identifiants révoqués provenant d'appareils qui auraient dû être déconnectés depuis des semaines. Nous aborderons l'architecture technique, passerons en revue deux scénarios réels de déploiement et terminerons par les questions que votre équipe devrait se poser avant de lancer un déploiement en production. C'est parti. --- ANALYSE TECHNIQUE APPROFONDIE — environ 5 minutes Tout d'abord, définissons le problème que nous cherchons à résoudre. Dans tout réseau authentifié IEEE 802.1X — le standard qui sous-tend le WiFi d'entreprise, le NAC filaire et la plupart des architectures modernes d'accès invité —, les appareils s'authentifient à l'aide d'identifiants ou de certificats. Les certificats sont préférables car ils ne reposent pas sur des secrets partagés, ils sont liés à l'appareil et s'intègrent parfaitement aux plateformes MDM via des protocoles comme SCEP. Mais les certificats ont un cycle de vie. Ils expirent, sont compromis, et les appareils sont mis hors service. Lorsque l'un de ces événements se produit, vous avez besoin d'un mécanisme pour indiquer à votre infrastructure réseau : ce certificat n'est plus valide, cessez de lui faire confiance. Ce mécanisme existe sous deux formes : la CRL (Certificate Revocation List ou liste de révocation de certificats) et l'OCSP (Online Certificate Status Protocol). Commençons par la CRL. Une liste de révocation de certificats est exactement ce que son nom indique — une liste signée, publiée par votre autorité de certification (CA), contenant le numéro de série de chaque certificat ayant été révoqué. Votre infrastructure NAC — généralement un serveur RADIUS comme FreeRADIUS, Cisco ISE ou Aruba ClearPass — télécharge périodiquement cette liste depuis un point de distribution CRL (CRL Distribution Point), qui est simplement un point de terminaison HTTP ou LDAP. Le serveur RADIUS met en cache la liste localement et vérifie les numéros de série des certificats entrants par rapport à celle-ci lors de la liaison (handshake) EAP-TLS. L'avantage opérationnel de la CRL est sa simplicité et sa résilience hors ligne. Une fois la liste téléchargée, la vérification de la révocation fonctionne même si votre CA est inaccessible. L'inconvénient est la latence. Si vous révoquez un certificat à 9 heures du matin et que votre intervalle de rafraîchissement de la CRL est de 24 heures, cet appareil pourrait toujours s'authentifier jusqu'au prochain téléchargement planifié. Dans un environnement hautement sécurisé — un hôpital, le back-office de services financiers, un réseau gouvernemental —, cette fenêtre de vulnérabilité est inacceptable. OCSP résout le problème de latence. Au lieu de maintenir une liste locale en cache, votre serveur RADIUS envoie une requête en temps réel à un OCSP Responder — un service placé devant votre CA — pour chaque certificat qu'il doit valider. Le répondeur renvoie l'une des trois réponses suivantes : Good, Revoked ou Unknown. L'ensemble de l'échange se fait en ligne, pendant le handshake EAP-TLS, généralement en moins de 100 millisecondes sur une infrastructure bien dimensionnée. Le compromis avec OCSP réside dans la dépendance à la disponibilité. Si votre OCSP Responder tombe en panne, ou si votre serveur RADIUS ne peut pas l'atteindre en raison d'un cloisonnement du réseau, vous devez prendre une décision politique : optez-vous pour un mode "fail open" — permettant à l'authentification de se poursuivre — ou "fail closed" — refusant l'accès jusqu'à ce que le répondeur soit joignable ? Le mode "fail open" maintient la disponibilité mais crée une faille de sécurité. Le mode "fail closed" maintient la posture de sécurité mais peut bloquer des utilisateurs légitimes lors d'un incident d'infrastructure. Il existe une troisième option intéressante : l'OCSP Stapling. Dans ce modèle, le détenteur du certificat — l'appareil client — récupère périodiquement une réponse OCSP signée auprès du répondeur et l'associe au handshake TLS. Le serveur RADIUS valide la réponse intégrée (stapled) plutôt que d'effectuer sa propre requête OCSP. Cela réduit la charge sur l'OCSP Responder, élimine le problème de confidentialité lié à l'exposition des numéros de série des certificats à un service externe, et améliore la résilience. L'inconvénient est que tous les supplicants EAP ne prennent pas en charge le stapling, vous devez donc vérifier la compatibilité des clients avant de vous y fier. Maintenant, comment cela s'intègre-t-il dans une architecture NAC ? Votre moteur de politique NAC — qu'il s'agisse de Cisco ISE, Aruba ClearPass, Juniper Mist ou d'une pile open-source construite autour de FreeRADIUS et PacketFence — se situe entre le supplicant et le réseau. Lorsqu'un appareil tente de se connecter, le serveur RADIUS reçoit l'Access-Request, effectue la négociation EAP-TLS, valide la chaîne de certificats du client, vérifie le statut de révocation via OCSP ou CRL, puis émet soit un Access-Accept avec une attribution de VLAN, soit un Access-Reject. L'automatisation intervient à deux niveaux. Tout d'abord, au niveau de la couche d'émission des certificats : votre plateforme MDM — Jamf, Intune, Workspace ONE — utilise SCEP pour provisionner automatiquement les certificats sur les appareils gérés. Lorsqu'un appareil est désinscrit ou mis hors service, le MDM déclenche un appel de révocation vers la CA, qui met à jour la CRL et notifie l'OCSP Responder. Ensuite, au niveau de la couche d'application du NAC : votre serveur RADIUS est configuré pour interroger l'OCSP ou actualiser son cache CRL selon un calendrier défini, garantissant ainsi que les décisions de révocation se propagent à la politique d'accès sans intervention manuelle. Le point d'intégration critique ici est le pipeline de communication de la CA vers le NAC. Dans un déploiement bien conçu, la révocation est une chaîne entièrement automatisée : le MDM déclasse l'appareil, déclenche la révocation par la CA, la CA met à jour le répondeur OCSP et publie une nouvelle CRL, le serveur RADIUS détecte le changement — soit immédiatement via OCSP, soit lors de la prochaine fenêtre d'actualisation de la CRL — et l'accès est refusé à l'appareil lors de sa prochaine tentative d'authentification. --- RECOMMANDATIONS D'IMPLÉMENTATION ET PIÈGES À ÉVITER — environ 2 minutes Voici les conseils pratiques qui éviteront à vos déploiements de dérailler. Premièrement : définissez votre tolérance à la latence de révocation avant de choisir votre mécanisme. Si vous gérez un réseau WiFi pour les clients d'un hôtel où le risque principal est un appareil du personnel déclassé, un intervalle d'actualisation de la CRL de 4 heures est probablement suffisant. Si vous gérez un réseau de santé où un appareil compromis pourrait accéder aux données des patients, vous devez opter pour l'OCSP avec une politique de type « fail-closed » et un cluster de répondeurs hautement disponible. Deuxièmement : n'exécutez pas un seul répondeur OCSP en production. Déployez-en au moins deux, derrière un répartiteur de charge, avec une surveillance de l'état (health monitoring). Une panne de répondeur OCSP entraînant un comportement « fail-closed » générera des tickets d'assistance plus rapidement que presque n'importe quelle autre défaillance d'infrastructure. Troisièmement : surveillez la taille de votre CRL. Dans les grands déploiements — on parle ici de dizaines de milliers de certificats —, les fichiers CRL peuvent atteindre plusieurs mégaoctets. Un serveur RADIUS téléchargeant une CRL de 5 Mo toutes les heures via une liaison WAN est un problème de bande passante assuré. Envisagez les CRL delta, qui ne contiennent que les modifications depuis la dernière CRL complète, ou migrez vers l'OCSP pour les environnements à fort volume. Quatrièmement : testez régulièrement votre pipeline de révocation. Il ne suffit pas de configurer l'OCSP et de supposer que cela fonctionne. Automatisez un test mensuel : émettez un certificat, révoquez-le, tentez une authentification, vérifiez le rejet. Si votre surveillance ne détecte pas un répondeur OCSP en panne, votre mécanisme de révocation n'est que de la figuration. Cinquièmement : alignez les périodes de validité de vos certificats sur votre stratégie de révocation. Les certificats à courte durée de vie — de 24 à 72 heures — réduisent la fenêtre d'exposition des identifiants compromis et peuvent réduire totalement votre dépendance vis-à-vis de l'infrastructure de révocation. C'est la direction que prend l'industrie, et cela vaut la peine de l'évaluer pour les nouveaux déploiements. --- QUESTIONS-RÉPONSES RAPIDES — environ 1 minute Question : Puis-je utiliser à la fois l'OCSP et la CRL simultanément ? Oui. La plupart des implémentations RADIUS prennent en charge une chaîne de secours (fallback) : essayer d'abord l'OCSP, puis se rabattre sur la CRL si le répondeur est injoignable. Cela vous offre une vérification en temps réel en conditions normales et une résilience hors ligne en cas de panne. Question : La plateforme WiFi pour clients de Purple s'intègre-t-elle avec un NAC basé sur des certificats ? La plateforme de Purple opère au niveau de la couche d'accès invité, gérant l'authentification par Captive Portal, la capture de données et les analyses. Pour les réseaux du personnel de l'entreprise utilisant le 802.1X avec authentification par certificat, Purple s'intègre à l'infrastructure réseau sous-jacente — les points d'accès, les contrôleurs et les serveurs RADIUS — plutôt que de remplacer la pile de gestion des certificats. Les réseaux invités et du personnel sont généralement segmentés, avec des mécanismes d'authentification différents et adaptés à chacun. Question : Quel est l'aspect conformité ? PCI DSS 4.0 exige que l'accès aux environnements de données de cartes de paiement utilise une authentification forte. Le GDPR exige des mesures techniques appropriées pour protéger les données personnelles. Ces deux cadres sont respectés grâce au 802.1X basé sur des certificats avec révocation automatisée — à condition de pouvoir prouver que la révocation est effectuée en temps opportun et testée. Votre piste d'audit doit indiquer quand les certificats ont été révoqués et quand cette révocation a été propagée pour application au réseau. --- RÉSUMÉ ET PROCHAINES ÉTAPES — environ 1 minute Pour résumer : l'automatisation de la révocation des certificats dans un environnement NAC est un problème à trois niveaux. Vous avez besoin d'une CA qui prend en charge les déclencheurs de révocation automatisés, d'un répondeur OCSP ou d'un point de distribution CRL hautement disponible et correctement dimensionné, et d'un serveur RADIUS configuré pour appliquer le statut de révocation dans le cadre de sa politique d'accès. Le choix entre OCSP et CRL n'est pas binaire — c'est une décision de tolérance au risque qui doit être prise dans le contexte des exigences de sécurité de votre environnement, de la topologie du réseau et de la maturité opérationnelle. Si vous construisez ou examinez un déploiement NAC et souhaitez comprendre comment la plateforme de Purple WiFi invité et d'analyse s'intègre dans l'architecture réseau globale, les liens dans les notes de l'émission vous orienteront vers les guides techniques pertinents. Merci pour votre écoute. Nous vous retrouverons lors du prochain briefing. --- FIN DU SCRIPT

header_image.png

Executive Summary

Pour les directeurs informatiques et les architectes réseau gérant des environnements à haute densité — tels que les espaces Hospitality , les parcs Retail et les déploiements du secteur public — la gestion du cycle de vie des certificats est une frontière de sécurité essentielle. Bien que la norme IEEE 802.1X offre une authentification robuste pour les appareils d'entreprise et BYOD, le mécanisme de révocation de la confiance est souvent négligé jusqu'à ce qu'une faille se produise.

L'automatisation de la révocation des certificats avec l'Online Certificate Status Protocol (OCSP) et les listes de révocation de certificats (CRL) dans un environnement de contrôle d'accès au réseau (NAC) comble le fossé entre le déclassement des terminaux et l'application des politiques réseau. Ce guide explore la mécanique architecturale de la révocation automatisée, en comparant les capacités en temps réel d'OCSP à la résilience hors ligne des CRL.

En intégrant votre plateforme de gestion des appareils mobiles (MDM), votre autorité de certification (CA) et votre moteur de politique NAC, les organisations peuvent parvenir à un accès réseau zero-trust où les appareils compromis ou déclassés sont instantanément refusés. Cette référence technique fournit des conseils de déploiement exploitables, des stratégies d'atténuation des risques, et examine comment cette posture de sécurité orientée personnel complète les infrastructures publiques telles que les plateformes Guest WiFi et WiFi Analytics de Purple.

Technical Deep-Dive

Dans tout réseau d'entreprise exploitant IEEE 802.1X avec EAP-TLS, les appareils s'authentifient à l'aide de certificats numériques plutôt que d'identifiants partagés. Cette approche est fondamentale pour les architectures de sécurité modernes, offrant une identité liée à l'appareil qui s'intègre de manière transparente aux plateformes MDM via des protocoles tels que SCEP (pour plus d'informations, voir Le rôle de SCEP et du NAC dans l'infrastructure MDM moderne ). Cependant, les certificats ont un cycle de vie défini. Lorsqu'un appareil est perdu, qu'un utilisateur part ou qu'une clé privée est compromise, l'infrastructure réseau doit recevoir l'instruction explicite de cesser de faire confiance à ce certificat.

Cette instruction de révocation est transmise via deux mécanismes principaux : CRL et OCSP.

Certificate Revocation List (CRL) Architecture

Une CRL est un fichier signé numériquement publié par l'autorité de certification contenant les numéros de série de tous les certificats révoqués qui n'ont pas encore expiré. Le moteur de politique NAC (agissant en tant que serveur RADIUS) télécharge périodiquement cette liste à partir d'un point de distribution CRL (CDP) via HTTP ou LDAP.

Lors de l'établissement de la liaison (handshake) EAP-TLS, le serveur RADIUS vérifie le numéro de série du certificat client entrant par rapport à sa CRL mise en cache localement. Si le numéro de série est présent, l'authentification est rejetée.

Architectural Characteristics:

  • Résilience hors ligne : Le serveur RADIUS mettant en cache la CRL, la vérification de la révocation continue même si l'AC ou le CDP devient injoignable.
  • Latence : Le principal inconvénient est le délai entre la révocation et son application. Si un certificat est révoqué à 09h00 et que l'intervalle de rafraîchissement de la CRL est de 24 heures, l'appareil compromis conserve l'accès au réseau jusqu'au prochain téléchargement.
  • Surcharge de bande passante : Dans les environnements comptant des dizaines de milliers de certificats, les fichiers CRL peuvent atteindre plusieurs mégaoctets, ce qui génère des tensions sur la bande passante lors des cycles de rafraîchissement.

Architecture de l'Online Certificate Status Protocol (OCSP)

L'OCSP résout les limites de latence de la CRL en permettant une vérification de la révocation en temps réel. Au lieu de télécharger une liste complète, le serveur RADIUS envoie une requête ciblée contenant le numéro de série du certificat à un répondeur OCSP. Le répondeur renvoie un statut signé : Good (valide), Revoked (révoqué) ou Unknown (inconnu).

Caractéristiques architecturales :

  • Application en temps réel : Les décisions de révocation se propagent instantanément. Une fois que l'AC a mis à jour le répondeur OCSP, la prochaine tentative d'authentification par l'appareil compromis échouera.
  • Dépendance à la disponibilité : Le moteur de politique NAC dépend de la haute disponibilité du répondeur OCSP. Si le répondeur est injoignable, l'administrateur réseau doit définir une politique de secours : "fail open" (autoriser l'accès, compromettant la sécurité) ou "fail closed" (refuser l'accès, compromettant la disponibilité).
  • Agrafage OCSP (OCSP Stapling) : Pour atténuer la charge et les problèmes de confidentialité, l'agrafage OCSP permet à l'appareil client de récupérer la réponse OCSP signée et de la joindre à la poignée de main TLS, bien que le support par le suppliant varie.

ocsp_crl_architecture_overview.png

Intégration avec les plateformes d'analyse et d'invités

Alors que l'OCSP et la CRL gèrent les exigences de sécurité rigoureuses du personnel et des appareils d'entreprise, les réseaux ouverts au public nécessitent des architectures différentes. Pour les lieux publics, l'intégration d'un NAC robuste pour le personnel avec une plateforme publique dédiée comme Purple assure une couverture complète. La plateforme de Purple gère l'authentification par Captive Portal, l'acceptation des conditions d'utilisation et la capture de données pour le segment public, tandis que l'infrastructure réseau sous-jacente (souvent les mêmes points d'accès physiques et commutateurs) applique le 802.1X et l'OCSP pour les SSID d'entreprise. Comprendre l'environnement radio est crucial pour les deux segments ; reportez-vous à Wi Fi Frequencies: A Guide to Wi-Fi Frequencies in 2026 pour la planification du spectre.

Guide d'implémentation

Le déploiement de la révocation automatisée de certificats nécessite une coordination entre les domaines PKI, MDM et NAC. Suivez ces étapes d'implémentation neutres vis-à-vis des fournisseurs pour établir un pipeline de révocation résilient.

Étape 1 : Définir le déclencheur de révocation

L'automatisation commence au niveau de la couche de gestion des terminaux. Configurez votre plateforme MDM (par exemple, Microsoft Intune, Jamf Pro) pour déclencher un appel API de révocation vers votre autorité de certification lorsque des conditions spécifiques sont remplies :

  • Terminal désinscrit du MDM
  • Terminal marqué comme non conforme
  • Compte utilisateur désactivé dans le service d'annuaire

Étape 2 : Configurer l'infrastructure de révocation

Pour les déploiements CRL :

  1. Configurez l'autorité de certification pour publier la CRL sur un CDP hautement disponible (par exemple, un serveur web interne avec répartition de charge).
  2. Définissez l'intervalle de publication de la CRL en fonction de votre tolérance au risque (par exemple, toutes les 4 heures).
  3. Configurez le serveur RADIUS pour récupérer la CRL à un intervalle légèrement inférieur à l'intervalle de publication afin de garantir que le cache est toujours à jour.

Pour les déploiements OCSP :

  1. Déployez au moins deux répondeurs OCSP derrière un répartiteur de charge pour garantir une haute disponibilité.
  2. Configurez l'autorité de certification pour pousser immédiatement les mises à jour de révocation vers les répondeurs OCSP.
  3. Configurez le serveur RADIUS pour interroger l'adresse IP virtuelle de l'OCSP réparti en charge lors de l'authentification EAP-TLS.

Étape 3 : Établir la politique de secours

Ne vous appuyez pas sur un seul mécanisme. Configurez votre serveur RADIUS pour utiliser OCSP comme vérification de révocation principale, avec un repli vers une CRL mise en cache localement si le répondeur OCSP est injoignable. Cela offre une application en temps réel dans des conditions normales et une résilience hors ligne lors des pannes d'infrastructure.

Étape 4 : Définir le comportement en cas d'échec

Si OCSP et la CRL mise en cache sont tous deux indisponibles, le serveur RADIUS doit décider de la manière de gérer la demande d'authentification.

  • Environnements hautement sécurisés (par exemple, Santé ) : Configurez le mode « fail closed ». Refusez l'accès pour empêcher la connexion de terminaux potentiellement compromis.
  • Environnements standards (par exemple, hubs de Transport ) : Configurez le mode « fail open » avec alerte. Autorisez l'accès pour maintenir la continuité opérationnelle, mais générez une alerte de haute priorité pour le SOC.

ocsp_vs_crl_comparison_chart.png

Bonnes pratiques

  1. Implémenter les listes CRL Delta : Si vous dépendez des CRL dans un environnement de grande taille, implémentez les listes CRL Delta. Ces fichiers ne contiennent que les modifications de révocation depuis la publication de la dernière CRL de base complète, réduisant considérablement la taille de téléchargement et la consommation de bande passante.
  2. Surveiller la latence OCSP : Les requêtes OCSP se produisent en ligne pendant la négociation EAP-TLS. Si le répondeur OCSP met 500 ms à répondre, l'authentification est retardée de 500 ms. Surveillez la latence du répondeur et effectuez une mise à l'échelle horizontale si les temps de réponse se dégradent.
  3. Certificats à courte durée de vie : Envisagez de réduire les périodes de validité des certificats (par exemple, de 1 an à 7 jours) via un renouvellement SCEP/EST automatisé. Les certificats à courte durée de vie expirent naturellement rapidement, réduisant ainsi la dépendance à une infrastructure de révocation robuste.
  4. S'aligner sur une stratégie réseau plus globale : Assurez-vous que votre déploiement NAC s'aligne sur l'architecture de votre réseau étendu. Pour obtenir des informations sur la conception des réseaux WAN modernes, consultez SD WAN vs MPLS: Le guide 2026 du réseau d'entreprise .

Résolution des problèmes et atténuation des risques

Le mode de défaillance le plus courant dans la révocation automatisée est une rupture du pipeline CA-vers-NAC, entraînant un événement de "fermeture sécurisée" (fail closed) qui bloque les utilisateurs légitimes.

Risque : Panne du répondeur OCSP Atténuation : Déployez les répondeurs dans un cluster actif-actif sur plusieurs domaines de défaillance. Mettez en œuvre des contrôles de santé complets sur l'équilibreur de charge qui vérifient la capacité du répondeur à interroger la base de données de la CA, et pas seulement la disponibilité du port TCP 80.

Risque : Cache CRL obsolète Atténuation : Les serveurs RADIUS peuvent ne pas parvenir à télécharger la dernière CRL en raison de partitions réseau ou de pannes de CDP. Mettez en place une surveillance qui alerte si la CRL mise en cache localement est plus ancienne que l'intervalle de publication défini.

Risque : Révocation MDM incomplète Atténuation : Si le MDM ne parvient pas à déclencher l'appel de révocation vers la CA, le certificat reste valide. Mettez en œuvre un script de réconciliation qui compare périodiquement la liste des appareils actifs du MDM à la liste des certificats valides de la CA, en révoquant automatiquement toute anomalie.

ROI et impact commercial

L'automatisation de la révocation des certificats transforme la sécurité d'un processus manuel réactif en un mécanisme de défense automatisé et proactif.

  • Réduction des risques : En éliminant la fenêtre d'exposition entre la compromission de l'appareil et l'isolement du réseau, les organisations réduisent considérablement le risque de mouvement latéral et d'exfiltration de données. C'est crucial pour maintenir la conformité avec des cadres tels que PCI DSS et GDPR.
  • Efficacité opérationnelle : L'automatisation du pipeline de révocation évite au personnel du support technique d'avoir à mettre à jour manuellement les configurations RADIUS ou les bases de données de la CA lors du départ d'un employé, ce qui permet d'économiser des centaines d'heures par an dans les grandes entreprises.
  • Stratégie d'accès unifiée : Un environnement NAC robuste pour les appareils de l'entreprise permet aux équipes informatiques de déployer en toute confiance des services parallèles, tels que le WiFi invité basé sur l'analyse de Purple ou des services basés sur la localisation (voir L'explication du BLE Low Energy pour l'entreprise ), en sachant que l'infrastructure centrale est sécurisée.

Écoutez notre briefing technique sur ce sujet ci-dessous :

Définitions clés

EAP-TLS (Extensible Authentication Protocol - Transport Layer Security)

La norme la plus sécurisée pour l'authentification réseau 802.1X, exigeant que le client et le serveur présentent des certificats numériques pour prouver leur identité.

Les équipes informatiques déploient EAP-TLS pour éliminer les risques associés à l'authentification par mot de passe, garantissant que seuls les appareils gérés et dotés d'un certificat peuvent se connecter au réseau de l'entreprise.

OCSP (Online Certificate Status Protocol)

Un protocole internet utilisé pour obtenir en temps réel le statut de révocation d'un certificat numérique X.509.

Crucial pour les environnements nécessitant une application immédiate des politiques d'accès, comme lorsqu'un employé est licencié et que son appareil doit être instantanément déconnecté.

CRL (Certificate Revocation List)

Une liste publiée périodiquement et signée numériquement contenant les numéros de série des certificats qui ont été révoqués par l'autorité de certification émettrice.

Utilisé comme principal mécanisme de révocation dans les réseaux hors ligne ou isolés (air-gapped), ou comme mécanisme de secours hautement résilient pour OCSP.

OCSP Stapling

Un mécanisme par lequel l'appareil client récupère sa propre réponse OCSP et l'« agrafe » à la liaison TLS, la présentant ainsi au serveur RADIUS.

Réduit la charge sur le serveur RADIUS et le répondeur OCSP, et améliore la confidentialité en empêchant la CA de voir exactement quand et où un appareil s'authentifie.

Delta CRL

Une liste de révocation plus petite contenant uniquement les certificats révoqués depuis la publication de la dernière CRL de base complète.

Indispensable pour les grands déploiements afin d'éviter la congestion du réseau, car les CRL complètes peuvent devenir volumineuses et consommer une bande passante importante lors des cycles de rafraîchissement.

CDP (CRL Distribution Point)

L'emplacement, généralement une URL HTTP ou LDAP, où l'autorité de certification publie la CRL pour que les clients et les serveurs RADIUS puissent la télécharger.

Les équipes informatiques doivent s'assurer que le CDP est hautement disponible et accessible depuis tous les moteurs de politique NAC ; si le CDP tombe en panne, les serveurs RADIUS ne peuvent pas mettre à jour leurs caches.

Fail Open / Fail Closed

La décision politique dictant ce qui se passe lorsque l'infrastructure de révocation (OCSP ou CDP) est inaccessible. Le Fail Open autorise l'accès ; le Fail Closed refuse l'accès.

Une décision commerciale critique équilibrant la posture de sécurité et le temps de fonctionnement opérationnel. Nécessite l'approbation des opérations informatiques et du CISO.

SCEP (Simple Certificate Enrollment Protocol)

Un protocole utilisé par les plateformes MDM pour automatiser la délivrance de certificats numériques aux appareils gérés sans intervention de l'utilisateur.

Le point de départ du cycle de vie automatisé. SCEP délivre le certificat, et le MDM demande ensuite à la CA de le révoquer lorsque l'appareil est retiré du service.

Exemples concrets

Un réseau hospitalier de 500 lits migre d'un système 802.1X basé sur des identifiants vers un système EAP-TLS basé sur des certificats pour tous les appareils IoT médicaux et les ordinateurs portables du personnel. Le RSSI exige que si un appareil est signalé volé, son accès au réseau soit interrompu dans un délai de 5 minutes. L'équipe réseau s'inquiète de la charge du serveur RADIUS s'il doit interroger constamment des services externes. Comment l'architecture de révocation doit-elle être conçue ?

L'hôpital doit déployer OCSP pour respecter l'accord de niveau de service (SLA) de révocation de 5 minutes, car les intervalles de rafraîchissement CRL ne peuvent pas atteindre cet objectif de manière fiable sans causer une surcharge réseau importante. Pour répondre aux inquiétudes de l'équipe réseau concernant la charge, l'architecture doit implémenter des répondeurs OCSP localement dans le centre de données de l'hôpital, positionnés à proximité des serveurs RADIUS afin de minimiser la latence. Les serveurs RADIUS doivent être configurés pour interroger l'adresse IP virtuelle (VIP) OCSP locale. Pour garantir la résilience, les serveurs RADIUS doivent être configurés avec un repli sur une CRL mise en cache localement, mise à jour toutes les heures. La politique de défaillance doit être définie sur « fail closed » (fermé en cas d'échec) en raison des exigences strictes de conformité du secteur de la santé.

Commentaire de l'examinateur : Cette approche équilibre correctement l'exigence de sécurité stricte (SLA de 5 minutes) et la stabilité opérationnelle. En localisant les répondeurs OCSP, la conception atténue la latence et la dépendance au réseau WAN. L'intégration d'un repli sur CRL démontre une compréhension mature de la conception à haute disponibilité, garantissant qu'une panne temporaire d'OCSP ne déclenche pas immédiatement la politique « fail closed » et ne perturbe pas les opérations cliniques.

Une chaîne mondiale de vente au détail comptant 1 200 magasins utilise SCEP pour attribuer des certificats aux tablettes des points de vente (POS). Les magasins disposent d'une bande passante WAN limitée. Le directeur informatique souhaite mettre en œuvre la révocation de certificats mais craint que le téléchargement de fichiers CRL volumineux sur 1 200 serveurs RADIUS de succursale ne sature les liaisons WAN. Quelle est la stratégie de déploiement optimale ?

La chaîne de vente au détail devrait mettre en œuvre une approche hybride utilisant des CRL Delta et l'agrafage OCSP (OCSP Stapling). Tout d'abord, la CA doit être configurée pour publier une CRL de base de manière hebdomadaire et une CRL Delta (contenant uniquement les révocations récentes) toutes les 4 heures. Les serveurs RADIUS des succursales ne téléchargeront que les petites CRL Delta pendant la journée, minimisant ainsi l'impact sur le WAN. Alternativement, si les demandeurs (supplicants) EAP des tablettes POS le prennent en charge, l'agrafage OCSP doit être activé. Cela transfère la charge de la récupération de la réponse OCSP du serveur RADIUS de la succursale à la tablette elle-même, qui peut récupérer la réponse directement auprès de la CA centrale via HTTPS standard, contournant ainsi complètement la charge de traitement du serveur RADIUS.

Commentaire de l'examinateur : Cette solution répond efficacement à la contrainte spécifique : la bande passante WAN à la périphérie. Recommander des CRL Delta est la pratique standard de l'industrie pour ce scénario. La recommandation secondaire de l'agrafage OCSP montre une connaissance avancée des mécanismes EAP-TLS, bien que la mise en garde concernant la prise en charge par les demandeurs soit cruciale, car de nombreux appareils IoT ou POS hérités ne prennent pas en charge l'agrafage.

Questions d'entraînement

Q1. Votre organisation déploie 802.1X dans 50 agences distantes. Les liaisons WAN vers le centre de données central sont très encombrées et subissent fréquemment des pertes de paquets. Vous devez mettre en œuvre la révocation de certificats pour les ordinateurs portables d'entreprise des agences. Quelle architecture devez-vous choisir ?

Conseil : Considérez l'impact de la perte de paquets sur les protocoles en temps réel par rapport à la résilience des données mises en cache.

Voir la réponse type

Vous devriez mettre en œuvre une architecture basée sur les CRL, en utilisant spécifiquement les CRL de base et delta. Les liaisons WAN étant encombrées et peu fiables, les requêtes OCSP en temps réel expireront fréquemment, entraînant des retards ou des échecs d'authentification. En configurant les serveurs RADIUS des agences pour télécharger et mettre en cache les CRL delta en dehors des heures de pointe, le serveur RADIUS local peut effectuer instantanément des vérifications de révocation par rapport à son cache, même si la liaison WAN est totalement interrompue pendant la tentative d'authentification.

Q2. Un audit de sécurité révèle que lorsque votre répondeur OCSP principal est hors ligne pour maintenance, tous les utilisateurs de l'entreprise sont complètement bloqués du réseau WiFi. La direction exige que la maintenance n'ait pas d'impact sur la connectivité des utilisateurs, mais le CISO refuse de modifier la politique en 'Fail Open' (accès autorisé en cas d'échec). Comment résolvez-vous cela ?

Conseil : Si vous ne pouvez pas modifier la politique de défaillance, vous devez modifier la disponibilité du service.

Voir la réponse type

Vous devez mettre en œuvre la haute disponibilité pour le service OCSP. Déployez au moins un répondeur OCSP supplémentaire et placez les deux derrière un répartiteur de charge. Configurez le serveur RADIUS pour interroger l'adresse IP virtuelle (VIP) du répartiteur de charge. Pendant la maintenance, vous pouvez drainer les connexions du répondeur principal, le mettre hors ligne, et le répartiteur de charge acheminera de manière transparente toutes les requêtes OCSP vers le répondeur secondaire, respectant ainsi l'exigence de disponibilité de l'entreprise et le mandat 'Fail Closed' (accès refusé en cas d'échec) du CISO.

Q3. Vous avez configuré votre MDM pour révoquer automatiquement les certificats lorsqu'un appareil est marqué comme 'perdu'. Vous testez le système en marquant un iPad de test comme perdu. Le MDM confirme la révocation, mais 10 minutes plus tard, l'iPad se connecte avec succès au WiFi de l'entreprise. Le serveur RADIUS est configuré pour utiliser une CRL publiée toutes les 24 heures. Quelle est la cause racine et comment la corriger ?

Conseil : Suivez le parcours chronologique des données de révocation depuis l'AC jusqu'au moteur d'application du serveur RADIUS.

Voir la réponse type

La cause racine est la latence dans le cycle de publication et de rafraîchissement de la CRL. Bien que le MDM ait correctement demandé à l'AC de révoquer le certificat, l'AC ne publiera pas ce statut mis à jour sur le point de distribution CRL avant le prochain cycle de 24 heures, et le serveur RADIUS ne le téléchargera pas avant l'expiration de son propre cache. Pour résoudre ce problème, vous devez soit migrer vers OCSP pour une vérification en temps réel, soit réduire considérablement les intervalles de publication et de téléchargement de la CRL (par exemple, à 1 heure) pour respecter vos délais d'application requis.

Continuer la lecture de cette série

Gestion du WiFi pour les clients d'hôtels : Intégration du PMS, des portails et des normes de marque

Ce guide technique détaille comment concevoir des réseaux WiFi hôteliers de classe entreprise, en se concentrant sur la segmentation VLAN, l'intégration PMS pour la gestion automatisée des sessions et l'optimisation du Captive Portal pour une collecte de données conforme au GDPR.

Lire le guide →

Comment configurer un WiFi invité : Guide de configuration d'entreprise sécurisé

Ce guide de référence fournit aux responsables informatiques et aux architectes réseau un plan d'action définitif pour déployer un WiFi invité d'entreprise sécurisé. Il couvre l'architecture essentielle, la migration vers le WPA3, la segmentation VLAN et l'intégration de Captive Portal pour protéger les systèmes internes tout en collectant des données de première partie conformes.

Lire le guide →

Gestion de la bande passante pour le WiFi du personnel : lissage, QoS et réduction du trafic

Ce guide détaille les méthodes pratiques pour gérer la bande passante du WiFi du personnel dans les établissements d'entreprise. Il aborde le lissage du trafic, l'implémentation de la QoS et la manière dont le déploiement de Purple Shield réduit la charge réseau sans nécessiter de mise à niveau des infrastructures.

Lire le guide →