OCSP et révocation de certificats pour l'authentification WiFi

Ce guide complet explore les mécanismes critiques de révocation de certificats dans les environnements WiFi d'entreprise, en se concentrant sur la transition des CRL vers l'OCSP. Il fournit des stratégies de mise en œuvre exploitables pour les équipes informatiques gérant des réseaux à grande échelle et à haute densité, où la sécurité en temps réel et la faible latence sont primordiales.

📖 6 min de lecture📝 1,362 mots🔧 2 exemples concrets❓ 3 questions d'entraînement📚 8 définitions clés

Écouter ce guide

Voir la transcription du podcast

Bienvenue dans ce briefing technique Purple. Je suis votre hôte, et aujourd'hui nous plongeons au cœur d'un mécanisme de sécurité essentiel pour les réseaux WiFi d'entreprise : l'OCSP et la révocation de certificats.

Si vous êtes responsable informatique, architecte réseau ou CTO et que vous gerez des déploiements à grande échelle dans les secteurs de l'hôtellerie, du commerce de détail ou du secteur public, vous savez que l'authentification basée sur les certificats — en particulier EAP-TLS sur 802.1X — est la référence absolue pour sécuriser l'accès au réseau. Mais que se passe-t-il lorsqu'un appareil est compromis, perdu, ou qu'un employé s'en va ? Comment vous assurer qu'un certificat révoqué est instantanément rejeté par votre réseau ?

C'est exactement ce que nous allons aborder aujourd'hui. Nous allons détailler les différences entre CRL et OCSP, expliquer comment un serveur RADIUS vérifie le statut de révocation, explorer le concept d'agrafage OCSP dans un contexte WiFi, et fournir des stratégies de mise en œuvre concrètes.

Commençons par les bases : CRL versus OCSP.

Lorsqu'un appareil se connecte à votre WiFi à l'aide d'un certificat, le serveur RADIUS doit vérifier que le certificat est non seulement mathématiquement valide et non expiré, mais aussi qu'il n'a pas été explicitement révoqué par l'autorité de certification, ou CA.

Historiquement, cela se faisait à l'aide d'une liste de révocation de certificats, ou CRL. Une CRL est exactement ce que son nom indique : un fichier volumineux contenant les numéros de série de tous les certificats révoqués. Le serveur RADIUS télécharge cette liste périodiquement — peut-être une fois par jour, ou toutes les quelques heures.

Le problème des CRL dans les environnements modernes à haute densité est double : la latence et la bande passante. Si vous avez un déploiement PKI important, cette liste devient énorme. Son téléchargement consomme de la bande passante, et son analyse nécessite des cycles CPU sur votre serveur RADIUS. Pire encore, il existe une fenêtre de vulnérabilité. Si un appareil est compromis à 9 heures du matin, mais que votre serveur RADIUS ne récupère la nouvelle CRL qu'à midi, cet appareil compromis dispose de trois heures d'accès libre à votre réseau.

C'est là qu'intervient l'OCSP : l'Online Certificate Status Protocol.

L'OCSP est une requête ciblée en temps réel. Au lieu de télécharger une liste massive de tous les certificats révoqués, le serveur RADIUS demande simplement au répondeur OCSP de la CA : « Hé, est-ce que ce numéro de série de certificat spécifique est valide en ce moment ? » Le répondeur répond par un message signé : « Good », « Revoked » ou « Unknown ».

Cela réduit considérablement la bande passante et la charge de traitement sur le serveur RADIUS. Plus important encore, cela ferme la fenêtre de vulnérabilité. Les révocations sont appliquées immédiatement.

Alors, comment cela fonctionne-t-il dans un flux d'authentification WiFi ?

Lorsqu'un appareil client — disons un ordinateur portable d'entreprise — tente de se connecter au WiFi, il communique avec le point d'accès sans fil (AP). L'AP agit comme un authentificateur, transmettant les messages EAP-TLS au serveur RADIUS.

L'ordinateur portable présente son certificat client. Le serveur RADIUS valide la signature cryptographique par rapport à sa CA racine de confiance. Ensuite, le serveur RADIUS suspend le processus d'authentification. Il contacte sur le réseau l'URI du répondeur OCSP intégrée dans le certificat du client. Il attend la réponse. Si la réponse est « Good », le serveur RADIUS renvoie un message Access-Accept à l'AP, et l'ordinateur portable se connecte. Si la réponse est « Revoked », il envoie un Access-Reject.

Maintenant, vous vous dites peut-être : « Cela n'ajoute-t-il pas de la latence au processus de connexion ? » Oui, tout à fait. Chaque authentification nécessite une résolution DNS externe et une requête HTTP vers le répondeur OCSP. Dans un stade bondé ou un grand hôtel aux heures de pointe, cela peut provoquer des expirations de délai d'authentification.

Cela nous amène à un concept crucial : l'agrafage OCSP (OCSP Stapling).

Dans le monde des serveurs web, l'agrafage OCSP est courant. Le serveur web interroge périodiquement le répondeur OCSP pour connaître le statut de son propre certificat, obtient une réponse signée et horodatée, et « agrafe » cette réponse au certificat qu'il envoie au client lors de la liaison TLS. Le client n'a pas besoin d'interroger la CA ; il vérifie simplement la signature de la CA sur la réponse agrafée.

Pouvons-nous faire cela pour le WiFi ? Oui, mais c'est complexe.

Dans l'EAP-TLS, le serveur RADIUS présente également un certificat de serveur au client, afin que ce dernier sache qu'il s'adresse au réseau légitime et non à un point d'accès pirate (evil twin). Le serveur RADIUS peut utiliser l'agrafage OCSP ici. Il interroge la CA pour son propre statut et agrafe la réponse dans le Server Hello EAP-TLS. Cela évite à l'appareil client d'avoir à effectuer une recherche OCSP sur le certificat du serveur RADIUS.

Cependant, l'agrafage du statut du certificat du client est différent. Le client ne peut pas agrafer son propre statut car le réseau ne lui fait pas encore confiance. Par conséquent, pour la validation du certificat client, le serveur RADIUS doit toujours effectuer la requête OCSP traditionnelle.

Pour atténuer la latence de ces requêtes, les serveurs RADIUS d'entreprise utilisent la mise en cache. Ils mettent en cache une réponse OCSP « Good » pendant une durée configurable — disons 15 minutes ou une heure. Cela signifie que les événements d'itinérance ou les reconnexions ultérieurs ne déclenchent pas de nouvelle requête externe, équilibrant ainsi sécurité et performance.

Examinons un scénario de mise en œuvre concret.

Imaginez une grande chaîne de magasins de détail avec des milliers de terminaux de point de vente (POS) et d'ordinateurs portables d'entreprise se connectant via EAP-TLS. Ils déploient la plateforme WiFi de Purple. Ils ont besoin d'une sécurité stricte, mais ils ne peuvent pas se permettre que les terminaux POS subissent des expirations de délai lors de l'authentification.

Voici l'approche recommandée :

Tout d'abord, assurez-vous que votre infrastructure de CA est robuste. Vos répondeurs OCSP doivent être hautement disponibles, idéalement derrière un répartiteur de charge (load balancer), et géographiquement répartis. Si votre serveur RADIUS ne peut pas joindre le répondeur OCSP, il doit décider s'il doit échouer en mode ouvert (« fail open », autoriser la connexion) ou en mode fermé (« fail closed », refuser la connexion). Dans les environnements hautement sécurisés, on choisit le mode fermé. Mais si votre répondeur OCSP tombe en panne, plus personne ne peut se connecter au WiFi.

Deuxièmement, configurez la mise en cache OCSP sur vos serveurs RADIUS. Un cache de 30 minutes est un bon compromis. Il réduit considérablement la charge sur votre CA et accélère les authentifications, tout en maintenant la fenêtre de révocation raisonnablement étroite.

Troisièmement, implémentez un mécanisme de secours. Configurez votre serveur RADIUS pour essayer d'abord l'OCSP. Si le répondeur OCSP est inaccessible, repliez-vous sur une CRL mise en cache localement. Cela offre une résilience face aux pannes de CA.

Enfin, considérez l'impact de l'expiration des certificats. L'expiration n'est pas la révocation. Un certificat atteint simplement sa date limite de validité. Votre serveur RADIUS le rejettera automatiquement, sans avoir besoin de vérifier l'OCSP ou une CRL. Le défi opérationnel réside ici dans la gestion du cycle de vie — s'assurer que les certificats sont renouvelés et déployés sur les appareils *avant* leur expiration.

Passons à une session rapide de questions-réponses basée sur les questions courantes des clients.

Question 1 : « Nous utilisons un MDM basé sur le cloud pour déployer les certificats. Avons-nous toujours besoin de l'OCSP ? »
Réponse : Absolument. Votre MDM émet le certificat, mais c'est le serveur RADIUS qui applique l'accès au réseau. Si vous effacez un appareil dans votre MDM, le MDM demande à la CA de révoquer le certificat. Mais tant que le serveur RADIUS ne vérifie pas ce statut de révocation via l'OCSP, l'appareil peut toujours se connecter au WiFi.

Question 2 : « Que se passe-t-il si un appareil est hors ligne lorsque nous révoquons son certificat ? »
Réponse : Peu importe que l'appareil soit hors ligne. La révocation se produit au niveau de la CA. La prochaine fois que cet appareil tentera de se connecter au WiFi, le serveur RADIUS interrogera l'OCSP, constatera le statut « Revoked » et refusera l'accès.

Question 3 : « Le trafic OCSP est-il chiffré ? »
Réponse : Historiquement, les requêtes OCSP étaient envoyées en HTTP clair. Cela était considéré comme acceptable car la réponse elle-même est signée cryptographiquement par la CA, ce qui empêche toute altération. Cependant, les implémentations modernes utilisent de plus en plus le protocole HTTPS pour protéger la confidentialité, empêchant des observateurs de voir quels certificats sont vérifiés.

Pour résumer et présenter les prochaines étapes :

La révocation de certificats est un composant non négociable d'un déploiement 802.1X sécurisé. Bien que les CRL soient acceptables pour les petits réseaux, l'OCSP est indispensable à l'échelle de l'entreprise, offrant une sécurité en temps réel et une charge de bande passante réduite.

Pour vos prochaines étapes :
1. Auditez votre configuration RADIUS actuelle. Vérifiez-vous seulement le statut de révocation ?
2. Si vous utilisez des CRL, évaluez la taille de votre liste et votre fréquence de téléchargement.
3. Planifiez une migration vers l'OCSP. Assurez-vous que votre infrastructure de CA peut gérer la charge de requêtes, et configurez une mise en cache judicieuse sur vos serveurs RADIUS afin d'optimiser les performances.

En implémentant une vérification OCSP robuste, vous garantissez que votre déploiement Purple WiFi reste sécurisé, conforme et performant, vous offrant un contrôle absolu sur qui — et quoi — peut accéder à votre réseau.

Merci d'avoir écouté ce briefing technique Purple.

Points clés à retenir

✓L'OCSP remplace les téléchargements volumineux de CRL par des requêtes de statut de certificat ciblées et en temps réel, éliminant ainsi la fenêtre de vulnérabilité.
✓Dans les environnements 802.1X, le serveur RADIUS effectue la requête OCSP pour valider le certificat du client avant d'accorder l'accès au réseau.
✓L'agrafage OCSP (OCSP stapling) permet au serveur RADIUS de prouver sa propre validité au client sans que ce dernier ait besoin d'interroger la CA.
✓La mise en cache intelligente des réponses OCSP « Good » sur le serveur RADIUS est essentielle pour éviter les expirations de délai d'authentification dans les espaces à haute densité.
✓La mise en œuvre d'un mécanisme de secours par CRL garantit la résilience du réseau si le répondeur OCSP principal devient inaccessible.
✓Une configuration « fail closed » maximise la sécurité mais risque de provoquer des pannes généralisées, tandis que le « fail open » donne la priorité à la disponibilité.
✓Une gestion robuste du cycle de vie des certificats, y compris des durées de vie courtes, réduit la dépendance aux mécanismes de révocation.

Résumé exécutif

Pour les sites d'entreprise exploitant des réseaux WiFi à haute densité — des chaînes de magasins de détail tentaculaires aux centres de conférence modernes — l'authentification basée sur les certificats (EAP-TLS) est la norme définitive pour sécuriser l'accès au réseau. Cependant, l'émission d'un certificat ne représente que la moitié du cycle de vie. Le défi opérationnel critique réside dans la révocation : s'assurer que lorsqu'un appareil est compromis, perdu ou déclassé, son accès au réseau est immédiatement interrompu. Ce guide explore l'architecture technique de la révocation de certificats, en opposant les listes de révocation de certificats (CRL) historiques au protocole OCSP (Online Certificate Status Protocol). Nous détaillons comment les serveurs RADIUS s'intègrent à l'infrastructure à clés publiques (PKI) pour appliquer la révocation en temps réel, les complexités de l'agrafage OCSP dans un contexte 802.1X, et les modèles de déploiement stratégiques requis pour équilibrer une sécurité stricte avec une expérience utilisateur fluide. En mettant en œuvre une vérification OCSP robuste, les exploitants de sites peuvent atténuer les risques, garantir la conformité et maintenir le débit élevé requis pour le Guest WiFi et l'accès d'entreprise.

Écoutez notre briefing exécutif de 10 minutes sur ce sujet :

Analyse technique approfondie

Les mécanismes de la révocation dans le 802.1X

Dans un flux d'authentification 802.1X, le point d'accès sans fil (AP) agit comme un authentificateur, transmettant les messages EAP (Extensible Authentication Protocol) entre l'appareil client (supplicant) et le serveur RADIUS. Lorsqu'un client présente un certificat lors de la liaison EAP-TLS, le serveur RADIUS doit valider son intégrité cryptographique, vérifier sa chaîne de confiance et confirmer son statut de révocation actuel.

Historiquement, cela était réalisé via une liste de révocation de certificats (CRL). Une CRL est un fichier signé numériquement contenant les numéros de série de tous les certificats révoqués émis par une autorité de certification (CA) spécifique. Le serveur RADIUS télécharge ce fichier périodiquement et le met en cache localement. Bien que simples à mettre en œuvre, les CRL présentent d'importants défis d'évolutivité. Dans les grands environnements d'entreprise, comme ceux du secteur du Commerce de détail , les CRL peuvent atteindre plusieurs mégaoctets. Le téléchargement et l'analyse de ces listes consomment de la bande passante et des cycles de traitement. Plus grave encore, les CRL introduisent une fenêtre de vulnérabilité : le délai entre la révocation d'un certificat au niveau de la CA et le téléchargement de la liste mise à jour par le serveur RADIUS.

La transition vers l'OCSP

Pour répondre aux limites des CRL, le protocole OCSP (Online Certificate Status Protocol) a été développé. L'OCSP remplace le modèle de téléchargement global par un mécanisme de requête ciblé en temps réel. Lorsqu'un client présente un certificat, le serveur RADIUS extrait l'URI du répondeur OCSP de l'extension AIA (Authority Information Access) du certificat. Il envoie ensuite une requête HTTP légère au répondeur, interrogeant le statut de ce numéro de série de certificat spécifique. Le répondeur renvoie une réponse signée indiquant si le certificat est « Good », « Revoked » ou « Unknown ».

Cette approche élimine la fenêtre de vulnérabilité associée aux CRL, appliquant les révocations immédiatement. Elle réduit également de manière significative la consommation de bande passante, car le serveur RADIUS ne demande des données que pour les certificats tentant activement de s'authentifier.

L'agrafage OCSP dans les environnements WiFi

L'agrafage OCSP (OCSP stapling) est une technique d'optimisation des performances largement utilisée sur les serveurs web. Au lieu que le client n'interroge le répondeur OCSP, le serveur interroge périodiquement le répondeur pour connaître le statut de son propre certificat. Il « agrafe » ensuite la réponse signée au certificat qu'il présente au client lors de la liaison TLS. Cela déplace la charge de la requête du client vers le serveur et réduit le nombre de connexions réseau externes requises.

Dans le contexte de l'authentification WiFi, l'agrafage OCSP est très pertinent mais nuancé. Lors de l'EAP-TLS, le serveur RADIUS présente son propre certificat de serveur au client pour prouver son identité. Le serveur RADIUS peut utiliser l'agrafage OCSP ici, en annexant la réponse OCSP au Server Hello EAP-TLS. Cela permet à l'appareil client de vérifier le statut de révocation du serveur RADIUS sans nécessiter sa propre connexion Internet — une fonctionnalité essentielle pour les appareils qui n'ont pas encore reçu d'accès au réseau.

Cependant, l'agrafage du statut du certificat du client n'est pas réalisable. Le client ne peut pas agrafer son propre statut car le réseau ne lui fait pas encore confiance. Par conséquent, pour la validation du certificat client, le serveur RADIUS doit effectuer une requête OCSP traditionnelle auprès de la CA.

Guide de mise en œuvre

Le déploiement de l'OCSP dans un environnement d'entreprise à haute densité nécessite une planification architecturale minutieuse pour garantir à la fois la sécurité et la disponibilité. Les étapes suivantes décrivent une stratégie de déploiement robuste.

1. Infrastructure de CA à haute disponibilité

Le passage à l'OCSP introduit une dépendance critique vis-à-vis de l'infrastructure de répondeurs de la CA. Si le serveur RADIUS ne peut pas joindre le répondeur OCSP, il ne peut pas vérifier de manière définitive le statut du certificat. Par conséquent, le répondeur OCSP doit être hautement disponible, géographiquement réparti et placé derrière des répartiteurs de charge pour gérer les pics d'authentification, tels que ceux rencontrés lors d'une conférence majeure ou d'un événement sportif.

2. Configuration et mise en cache du serveur RADIUS

Pour atténuPour atténuer la latence introduite par les requêtes OCSP en temps réel, les serveurs RADIUS d'entreprise doivent être configurés avec des mécanismes de mise en cache intelligents. Lorsqu'un serveur RADIUS reçoit une réponse « Good » du répondeur OCSP, il doit mettre cette réponse en cache pour une durée configurable, généralement comprise entre 15 et 60 minutes. Les demandes d'authentification ultérieures du même client au cours de cette fenêtre seront validées par rapport au cache, évitant ainsi la requête externe. Cela permet d'équilibrer le besoin de sécurité en temps réel avec les exigences de performance d'un réseau encombré.

3. Mécanismes de basculement et de résilience

Les architectes réseau doivent définir le comportement du serveur RADIUS dans le cas où le répondeur OCSP est injoignable. C'est ce que l'on appelle le « fail open » (ouverture en cas de défaillance) par opposition au « fail closed » (fermeture en cas de défaillance). Dans une configuration « fail closed », le serveur RADIUS refusera l'accès s'il ne peut pas vérifier le statut du certificat. Il s'agit de la posture la plus sécurisée, mais elle présente un risque de pannes généralisées en cas de défaillance de l'infrastructure de la CA. Dans une configuration « fail open », le serveur RADIUS autorisera l'accès si le répondeur est injoignable, privilégiant la disponibilité à une sécurité stricte.

Une approche hybride recommandée consiste à configurer le serveur RADIUS pour qu'il tente d'abord une requête OCSP. Si le répondeur est injoignable, le serveur se rabat sur une CRL mise en cache localement. Cela offre une résilience contre les pannes de CA tout en maintenant un niveau de base de vérification de la révocation.

Bonnes pratiques

Minimiser la durée de vie des certificats : Bien que la révocation gère l'invalidation prématurée, le contrôle de sécurité le plus efficace reste une durée de vie courte des certificats. Implémentez un provisionnement automatisé des certificats via MDM pour émettre des certificats valides pour quelques jours ou semaines, plutôt que des années. Cela réduit totalement la dépendance aux mécanismes de révocation. Pour aller plus loin sur la sécurité des appareils modernes, consultez notre guide sur l' Authentification 802.1X : Sécuriser l'accès réseau sur les appareils modernes .
Surveiller la latence OCSP : Surveillez en permanence la latence des requêtes OCSP de vos serveurs RADIUS vers l'infrastructure de la CA. Une latence élevée aura un impact direct sur l'expérience utilisateur, entraînant des expirations de délai d'authentification et des déconnexions.
Implémenter des contrôles d'accès stricts à la CA : La sécurité de votre réseau WiFi est intrinsèquement liée à la sécurité de votre CA. Assurez-vous que des contrôles d'accès stricts, une authentification multifacteur et un audit complet sont en place pour toutes les interfaces de gestion de la CA.

Dépannage et atténuation des risques

Lors du déploiement d'OCSP, les équipes informatiques sont fréquemment confrontées à plusieurs modes de défaillance courants :

Expirations de délai d'authentification : Si le répondeur OCSP tarde à répondre, le protocole de handshake EAP-TLS peut expirer. Cela est souvent dû à une congestion du réseau ou à une infrastructure de CA sous-dimensionnée. L'atténuation consiste à optimiser la mise en cache OCSP sur le serveur RADIUS et à faire évoluer l'infrastructure du répondeur.
Désalignement de l'horloge (Clock Skew) : Les réponses OCSP sont horodatées et signées. Si l'horloge du serveur RADIUS n'est pas synchronisée avec celle de la CA, le serveur peut rejeter une réponse OCSP valide comme étant expirée. Assurez-vous que tous les composants de l'infrastructure sont synchronisés via des serveurs NTP fiables.
Blocage par pare-feu : Les requêtes OCSP utilisent généralement HTTP (port 80) ou HTTPS (port 443). Assurez-vous que les pare-feu entre le serveur RADIUS et l'infrastructure de la CA sont configurés pour autoriser ce trafic. Les implémentations modernes utilisent de plus en plus HTTPS pour protéger la confidentialité et empêcher les observateurs réseau d'analyser les requêtes de certificats.

ROI et impact commercial

La mise en œuvre de mécanismes robustes de révocation de certificats offre une valeur commerciale mesurable au-delà de la simple conformité en matière de sécurité.

Atténuation des risques : En éliminant la fenêtre de vulnérabilité associée aux CRL, l'OCSP réduit considérablement le risque qu'un appareil compromis accède à des ressources d'entreprise sensibles. Cela protège la propriété intellectuelle et atténue les dommages financiers et de réputation liés à une violation de données.
Efficacité opérationnelle : L'automatisation des contrôles de révocation via OCSP réduit la charge administrative associée à la gestion de fichiers CRL volumineux. Les équipes informatiques peuvent se concentrer sur des initiatives stratégiques plutôt que sur le dépannage des échecs de téléchargement de CRL.
Facilitation de la conformité : Pour les établissements opérant dans des secteurs réglementés, tels que la Santé ou la finance, des contrôles d'accès stricts et une révocation en temps réel sont souvent des exigences de conformité obligatoires (par exemple, HIPAA, PCI DSS). Un déploiement OCSP robuste garantit une conformité continue et simplifie les processus d'audit.

Définitions clés

OCSP (Online Certificate Status Protocol)

Un protocole Internet utilisé pour obtenir en temps réel le statut de révocation d'un certificat numérique X.509.

Utilisé par les serveurs RADIUS pour vérifier instantanément si le certificat d'un appareil a été révoqué, fermant ainsi la fenêtre de vulnérabilité associée aux CRL existantes.

CRL (Certificate Revocation List)

Une liste signée numériquement et mise à jour périodiquement contenant les numéros de série des certificats révoqués par l'autorité de certification émettrice.

La méthode historique de vérification de la révocation. Elle souffre de problèmes d'évolutivité et introduit une fenêtre de vulnérabilité entre les mises à jour.

OCSP Stapling

Un mécanisme par lequel le présentateur du certificat (par exemple, un serveur RADIUS) obtient une réponse OCSP horodatée de la CA et l'annexe au certificat lors de la liaison (handshake) TLS.

Utilisé pour améliorer les performances et la confidentialité en déchargeant l'appareil client de la charge des requêtes OCSP.

EAP-TLS (Extensible Authentication Protocol - Transport Layer Security)

Une méthode d'authentification 802.1X hautement sécurisée qui nécessite une authentification mutuelle basée sur des certificats entre le client et le serveur RADIUS.

Le protocole standard utilisé dans les environnements WiFi d'entreprise qui nécessite une vérification robuste de la révocation des certificats.

Vulnerability Window

La période s'écoulant entre la révocation d'un certificat au niveau de la CA et le moment où le système d'application (par exemple, le serveur RADIUS) prend connaissance de cette révocation.

L'un des principaux moteurs de l'adoption de l'OCSP par rapport aux CRL, car l'OCSP réduit efficacement cette fenêtre à près de zéro.

Fail Open vs. Fail Closed

Une décision de configuration déterminant le comportement du système lorsqu'une dépendance (comme un répondeur OCSP) est inaccessible. Le mode « fail open » autorise l'accès ; le mode « fail closed » le refuse.

Une décision d'architecture critique pour les équipes informatiques qui doivent équilibrer la disponibilité du réseau et la conformité stricte en matière de sécurité.

AIA (Authority Information Access)

Une extension au sein d'un certificat X.509 qui indique comment accéder aux informations et services de l'émetteur du certificat, y compris l'URI du répondeur OCSP.

Le serveur RADIUS lit cette extension pour déterminer exactement où envoyer la requête OCSP pour un certificat client spécifique.

Supplicant

Le client logiciel sur un appareil (par exemple, un ordinateur portable ou un smartphone) qui tente d'accéder au réseau et répond aux demandes d'authentification.

L'entité présentant le certificat client que le serveur RADIUS doit valider auprès du répondeur OCSP.

Exemples concrets

Un hôtel de luxe de 500 chambres dans le secteur de l'[Hôtellerie](/industries/hospitality) met à niveau son réseau WiFi d'arrière-guichet pour utiliser EAP-TLS pour les appareils du personnel. Il utilise actuellement un serveur RADIUS centralisé dans son centre de données d'entreprise, connecté via SD-WAN. Il craint que les requêtes OCSP en temps réel vers son autorité de certification (CA) basée sur le cloud ne provoquent des expirations de délai d'authentification lors des changements d'équipe, lorsque des centaines d'employés se connectent simultanément.

La mise en œuvre doit donner la priorité à une authentification à faible latence sans compromettre la sécurité. La solution comprend trois étapes : 1) Déployer un proxy RADIUS localisé au sein de l'hôtel pour gérer la terminaison EAP initiale. 2) Configurer le proxy RADIUS pour effectuer des requêtes OCSP et mettre en cache les réponses « Good » pendant 60 minutes. 3) Implémenter un mécanisme de secours (fallback) où le proxy RADIUS s'appuie sur une CRL quotidienne téléchargée localement si la liaison SD-WAN vers la CA cloud échoue.

Commentaire de l'examinateur : Cette approche atténue efficacement le risque de latence. En mettant en cache les réponses OCSP localement en périphérie (edge), l'hôtel évite d'envoyer des centaines de requêtes simultanées à travers le WAN lors d'un changement d'équipe. La fenêtre de cache de 60 minutes est un compromis pragmatique, limitant la fenêtre de vulnérabilité tout en garantissant une haute disponibilité. Le repli sur la CRL offre une résilience essentielle face aux pannes WAN, garantissant que le personnel peut toujours s'authentifier même si la CA cloud est temporairement inaccessible. Cette architecture s'aligne sur les principes abordés dans notre article sur [Les avantages fondamentaux du SD-WAN pour les entreprises modernes](/blog/sd-wan-benefits).

Une grande organisation du secteur public déploie des [Capteurs](/products/sensors) dans plusieurs bâtiments municipaux. Ces appareils IoT s'authentifient via 802.1X à l'aide de certificats d'une durée de vie de 5 ans. L'équipe de sécurité informatique exige une déconnexion immédiate du réseau si un capteur est signalé comme volé.

Compte tenu de la longue durée de vie des certificats, une révocation robuste est essentielle. L'organisation doit configurer ses serveurs RADIUS pour effectuer des requêtes OCSP obligatoires pour chaque demande d'authentification provenant du VLAN des capteurs. La mise en cache doit être désactivée ou définie sur une durée très courte (par exemple, 5 minutes). Les serveurs RADIUS doivent être configurés pour « échouer en mode fermé » (fail closed) : si le répondeur OCSP est inaccessible, l'accès est refusé au capteur.

Commentaire de l'examinateur : Bien que les certificats à longue durée de vie soient généralement déconseillés, ils sont courants dans les déploiements IoT en raison de la difficulté du renouvellement automatisé. Dans ce scénario, l'OCSP est le seul contrôle de sécurité efficace. La désactivation de la mise en cache garantit qu'un certificat révoqué est rejeté presque immédiatement lors de la tentative d'authentification suivante. La configuration « fail closed » donne la priorité à la sécurité sur la disponibilité, ce qui est approprié compte tenu du risque qu'un capteur physique compromis serve de tête de pont dans le réseau municipal.

Questions d'entraînement

Q1. Votre organisation migre d'un téléchargement quotidien de CRL vers une vérification OCSP en temps réel pour votre WiFi d'entreprise. Pendant la phase pilote, vous constatez une augmentation significative des expirations de délai d'authentification, en particulier pour les utilisateurs en itinérance (roaming) entre les bâtiments. Quelle est la cause la plus probable et la mesure d'atténuation recommandée ?

Conseil : Prenez en compte la latence introduite par les requêtes réseau externes lors de la liaison EAP-TLS.

Voir la réponse type

Les expirations de délai sont probablement causées par la latence liée à l'exécution d'une requête HTTP externe vers le répondeur OCSP pour chaque événement d'authentification, y compris les reconnexions rapides lors de l'itinérance. La mesure d'atténuation recommandée consiste à configurer la mise en cache OCSP sur le serveur RADIUS. En mettant en cache les réponses « Good » pendant une période donnée (par exemple, 30 minutes), les événements d'itinérance ultérieurs seront validés localement par rapport au cache, éliminant ainsi la latence des requêtes externes et évitant les expirations de délai.

Q2. Un audit de sécurité critique exige qu'aucun appareil compromis ne puisse accéder au réseau plus de 5 minutes après la révocation de son certificat dans la plateforme MDM. Votre serveur RADIUS est configuré pour utiliser OCSP avec un cache de 60 minutes. Cette configuration répond-elle aux exigences de l'audit ?

Conseil : Analysez la relation entre la durée du cache et la fenêtre de vulnérabilité.

Voir la réponse type

Non, cette configuration ne répond pas aux exigences de l'audit. Le cache de 60 minutes crée une fenêtre de vulnérabilité pouvant aller jusqu'à une heure. Si un appareil s'authentifie et que son statut « Good » est mis en cache, et que le certificat est révoqué 1 minute plus tard, le serveur RADIUS continuera d'autoriser l'accès pendant les 59 minutes restantes sur la base de la réponse mise en cache. Pour répondre à l'exigence des 5 minutes, la durée du cache OCSP doit être réduite à 5 minutes ou moins, bien que cela augmente la charge de requêtes sur l'infrastructure de la CA.

Q3. Lors d'une panne majeure de votre fournisseur d'accès Internet (FAI), votre répondeur OCSP basé sur le cloud devient inaccessible. Votre serveur RADIUS est configuré pour la vérification OCSP avec une politique « fail closed ». Quel est l'impact sur le réseau et comment l'architecture pourrait-elle être améliorée pour plus de résilience ?

Conseil : Considérez les implications du mode « fail closed » lorsqu'une dépendance critique est indisponible.

Voir la réponse type

L'impact est une interruption totale de toutes les nouvelles authentifications WiFi. Comme le serveur RADIUS ne peut pas joindre le répondeur et qu'il est configuré en mode « fail closed », il refusera toutes les demandes d'accès. Pour améliorer la résilience, l'architecture devrait implémenter un mécanisme de secours (fallback). Le serveur RADIUS doit être configuré pour tenter d'abord l'OCSP et, s'il est inaccessible, se replier sur une CRL mise en cache localement. Cela permet aux authentifications de se poursuivre en utilisant le dernier état de révocation valide connu pendant la panne du FAI.

Continuer la lecture de cette série

Comment configurer SCEP pour l'enrôlement automatisé de certificats WiFi d'entreprise

Ce guide explique comment configurer SCEP (Simple Certificate Enrollment Protocol) pour l'enrôlement automatisé de certificats WiFi d'entreprise, couvrant l'architecture complète depuis la PKI et le NDES jusqu'au déploiement de profils MDM et à la validation RADIUS. Il s'adresse aux responsables informatiques, architectes réseau et CTO d'hôtels, de chaînes de vente au détail, de stades, de centres de conférence et d'organisations du secteur public qui souhaitent dépasser les clés pré-partagées et mettre en œuvre une authentification 802.1X EAP-TLS évolutive et basée sur l'identité. La plateforme cloud overlay de Purple, indépendante du matériel, s'intègre directement à cette architecture, fournissant la couche WiFi pour les invités et le BYOD qui coexiste avec votre réseau d'employés authentifié par certificat.

Le guide de l'entreprise pour SCEP : Déployer le protocole SCEP (Simple Certificate Enrollment Protocol) pour la sécurité automatisée du WiFi sur les campus

Ce guide de référence technique fournit un schéma d'architecture définitif et une stratégie d'implémentation étape par étape pour le déploiement de certificats WiFi d'entreprise à l'aide de SCEP. Il présente les différences cruciales entre SCEP et PKCS, la séquence de déploiement exacte requise pour réussir, ainsi que des stratégies concrètes de mitigation des risques pour les responsables informatiques.

Comment implémenter SCEP pour l'enrôlement automatisé de certificats WiFi

Ce guide explique comment implémenter SCEP (Simple Certificate Enrollment Protocol) pour l'enrôlement automatisé de certificats WiFi dans les établissements d'entreprise. Il couvre l'ensemble du schéma architectural - de la conception de la PKI et l'intégration MDM à la séquence de déploiement obligatoire en trois étapes - et montre aux responsables informatiques et architectes réseau comment éliminer les identifiants partagés, automatiser la gestion du cycle de vie des certificats et respecter les exigences PCI DSS et GDPR à grande échelle.