Vai al contenuto principale

Automazione della revoca dei certificati con OCSP e CRL in un ambiente NAC

Questa guida di riferimento tecnico fornisce a IT manager e progettisti di rete un'analisi completa dell'automazione della revoca dei certificati in un ambiente di Network Access Control (NAC). Esplora i compromessi architetturali tra OCSP e CRL, offre linee guida di implementazione indipendenti dai fornitori e descrive l'impatto aziendale dell'applicazione delle policy in tempo reale.

📖 6 minuti di lettura📝 1,437 parole🔧 2 esempi pratici3 domande di esercitazione📚 8 definizioni chiave

Ascolta questa guida

Visualizza trascrizione del podcast
Automazione della Revoca dei Certificati con OCSP e CRL in un Ambiente NAC Un Technical Briefing di Purple - Circa 10 Minuti --- INTRODUZIONE E CONTESTO - circa 1 minuto Benvenuti nella serie di Technical Briefing di Purple. Sono il vostro ospite e oggi approfondiremo i meccanismi di automazione della revoca dei certificati - in particolare come funzionano OCSP e CRL all'interno di un ambiente Network Access Control, e perché configurare correttamente questo aspetto sia una delle decisioni di sicurezza più trascurate nelle implementazioni di rete WiFi aziendali. Se gestite una catena alberghiera, un patrimonio retail, uno stadio o una rete del settore pubblico con centinaia o migliaia di dispositivi connessi, la gestione del ciclo di vita dei certificati non è un optional. Rappresenta la differenza tra una rete che applica le policy in tempo reale e una che ospita silenziosamente credenziali revocate di dispositivi che avrebbero dovuto essere disconnessi settimane fa. Esamineremo l'architettura tecnica, analizzeremo due scenari di implementazione reali e concluderemo con le domande che il vostro team dovrebbe porsi prima di avvicinarsi a un roll-out di produzione. Iniziamo. --- APPROFONDIMENTO TECNICO - circa 5 minuti Per prima cosa, definiamo il problema che stiamo risolvendo. In qualsiasi rete autenticata tramite 802.1X - che è lo standard alla base delle reti WiFi aziendali, del NAC cablato e della maggior parte delle moderne architetture di accesso guest - i dispositivi si autenticano utilizzando credenziali o certificati. I certificati sono preferibili perché non si basano su segreti condivisi, sono associati al dispositivo e si integrano perfettamente con le piattaforme MDM tramite protocolli come SCEP. Ma i certificati hanno un ciclo di vita. Scadono, vengono compromessi e i dispositivi vengono dismessi. Quando si verifica una di queste situazioni, è necessario un meccanismo per comunicare all'infrastruttura di rete: questo certificato non è più valido, smetti di considerarlo attendibile. Questo meccanismo si presenta in due varianti: CRL, che sta per Certificate Revocation List, e OCSP, che sta per Online Certificate Status Protocol. Iniziamo con CRL. Una Certificate Revocation List è esattamente ciò che suggerisce il nome - un elenco firmato, pubblicato dalla vostra Certificate Authority, contenente i numeri di serie di tutti i certificati che sono stati revocati. La vostra infrastruttura NAC - in genere un server RADIUS come FreeRADIUS, Cisco ISE o Aruba ClearPass - scarica periodicamente questo elenco da un CRL Distribution Point, che è semplicemente un endpoint HTTP o LDAP. Il server RADIUS memorizza l'elenco localmente nella cache e confronta i numeri di serie dei certificati in entrata con questo elenco durante l'handshake EAP-TLS. Il vantaggio operativo di CRL risiede nella semplicità e nella resilienza offline. Una volta scaricato l'elenco, il controllo della revoca funziona anche se la CA non è raggiungibile. Lo svantaggio è la latenza. Se si revoca un certificato alle ore 9:00 e l'intervallo di aggiornamento della CRL è di 24 ore, quel dispositivo potrebbe ancora autenticarsi fino al download successivo pianificato. In un ambiente ad alta sicurezza - un ospedale, il back office di servizi finanziari, una rete governativa - questa finestra temporale è inaccettabile.OCSP risolve il problema della latenza. Invece di mantenere un elenco memorizzato nella cache locale, il server RADIUS invia una query in tempo reale a un responder OCSP - un servizio posizionato davanti alla CA - per ogni certificato che deve convalidare. Il responder restituisce una delle tre risposte: Good, Revoked o Unknown. L'intero scambio avviene inline, durante l'handshake EAP-TLS, in genere in meno di 100 millisecondi su un'infrastruttura ben strutturata. Il compromesso con OCSP è la dipendenza dalla disponibilità. Se il responder OCSP si interrompe o se il server RADIUS non riesce a raggiungerlo a causa di una partizione di rete, è necessario prendere una decisione di policy: consentire l'accesso in caso di guasto (fail open - consentendo il proseguimento dell'autenticazione) o bloccare l'accesso in caso di guasto (fail closed - negando l'accesso fino a quando il responder non sia raggiungibile)? La modalità fail open mantiene il tempo di attività ma crea una lacuna di sicurezza. La modalità fail closed mantiene il livello di sicurezza ma può bloccare gli utenti legittimi durante un incidente infrastrutturale. Esiste una terza opzione che vale la pena conoscere: OCSP Stapling. In questo modello, il titolare del certificato - il dispositivo client - recupera periodicamente una risposta OCSP firmata dal responder e la allega all'handshake TLS. Il server RADIUS convalida la risposta con timbro (stapled) anziché effettuare la propria query OCSP. Ciò riduce il carico sul responder OCSP, elimina il problema di privacy legato all'esposizione dei seriali dei certificati a un servizio esterno e migliora la resilienza. Lo svantaggio è che non tutti i supplicant EAP supportano lo stapling, quindi è necessario verificare la compatibilità del client prima di fare affidamento su di esso. In che modo tutto questo si inserisce in un'architettura NAC? Il motore di policy NAC - sia esso Cisco ISE, Aruba ClearPass, Juniper Mist o uno stack open-source basato su FreeRADIUS e PacketFence - si colloca tra il supplicant e la rete. Quando un dispositivo tenta di connettersi, il server RADIUS riceve la richiesta di Access-Request, esegue la negoziazione EAP-TLS, convalida la catena dei certificati client, verifica lo stato di revoca tramite OCSP o CRL, e infine emette un Access-Accept con l'assegnazione di una VLAN o un Access-Reject. L'automazione interviene su due livelli. In primo luogo, a livello di emissione dei certificati: la piattaforma MDM - Jamf, Intune, Workspace ONE - utilizza SCEP per fornire automaticamente i certificati ai dispositivi gestiti. Quando un dispositivo viene rimosso dalla registrazione o dismesso, l'MDM avvia una chiamata di revoca alla CA, che aggiorna la CRL e notifica il responder OCSP. In secondo luogo, a livello di applicazione NAC: il server RADIUS è configurato per interrogare l'OCSP o aggiornare la cache della CRL secondo una pianificazione definita, garantendo che le decisioni di revoca si propaghino alla policy di accesso senza alcun intervento manuale. Il punto di integrazione cruciale in questo caso è la pipeline di comunicazione da CA a NAC. In una distribuzione ben progettata, la revoca è una catena completamente automatizzata: l'MDM dismette il dispositivo, attiva la revoca della CA, la CA aggiorna l'OCSP Responder e pubblica una nuova CRL, il server RADIUS recepisce la modifica - o immediatamente tramite OCSP o entro la successiva finestra di aggiornamento della CRL - e al dispositivo viene negato l'accesso al successivo tentativo di autenticazione. --- RACCOMANDAZIONI DI IMPLEMENTAZIONE E TRAPPOLE DA EVITARE - circa 2 minuti Desidero fornirvi indicazioni pratiche per evitare che le installazioni vadano storte. In primo luogo: definite la vostra tolleranza alla latenza di revoca prima di scegliere il vostro meccanismo. Se gestite una rete WiFi per gli ospiti di un hotel in cui il rischio principale è un dispositivo del personale dismesso, un intervallo di aggiornamento della CRL di 4 ore è probabilmente adeguato. Se gestite una rete sanitaria in cui un dispositivo compromesso potrebbe accedere ai dati dei pazienti, è preferibile utilizzare OCSP con una policy di fail-closed e un cluster di responder ad alta disponibilità. In secondo luogo: non eseguite un singolo OCSP Responder in produzione. Distribuitene almeno due, dietro un bilanciatore di carico, con monitoraggio dello stato di salute. Un'interruzione dell'OCSP Responder che causa un comportamento fail-closed genererà ticket di supporto più velocemente di quasi qualsiasi altro guasto all'infrastruttura. In terzo luogo: prestate attenzione alle dimensioni della CRL. Nelle grandi distribuzioni - parliamo di decine di migliaia di certificati - i file CRL possono crescere fino a diversi megabyte. Un server RADIUS che scarica una CRL da 5 MB ogni ora attraverso un collegamento WAN è un problema di throughput destinato a verificarsi. Prendete in considerazione le CRL delta, che contengono solo le modifiche apportate dall'ultima CRL completa, oppure passate a OCSP per gli ambienti ad alto volume. In quarto luogo: testate regolarmente la vostra pipeline di revoca. Non basta configurare OCSP e dare per scontato che funzioni. Automatizzate un test mensile: emettete un certificato, revocatelo, tentate l'autenticazione, verificate il rifiuto. Se il vostro monitoraggio non rileva un OCSP Responder non funzionante, il vostro meccanismo di revoca è solo di facciata. In quinto luogo: allineate i periodi di validità dei certificati con la vostra strategia di revoca. I certificati a breve durata - da 24 a 72 ore - riducono la finestra di esposizione per le credenziali compromesse e possono ridurre del tutto la dipendenza dall'infrastruttura di revoca. Questa è la direzione in cui si sta muovendo il settore ed è opportuno valutarla per le nuove distribuzioni. --- DOMANDE E RISPOSTE RAPIDE - circa 1 minuto Domanda: Posso utilizzare contemporaneamente sia OCSP che CRL? Sì. La maggior parte delle implementazioni RADIUS supporta una catena di fallback: prova prima OCSP, poi passa alla CRL se il responder non è raggiungibile. Questo garantisce un controllo in tempo reale in condizioni normali e la resilienza offline durante le interruzioni. Domanda: La piattaforma guest WiFi di Purple si integra con il NAC basato su certificati? La piattaforma di Purple opera a livello di accesso guest, gestendo l'autenticazione del Captive Portal, l'acquisizione dei dati e la relativa analisi. Per le reti aziendali del personale che eseguono lo standard 802.1X con autenticazione tramite certificato, Purple si integra con l'infrastruttura di rete sottostante - access point, controller e server RADIUS - anziché sostituire lo stack di gestione dei certificati. Le reti guest e quelle del personale sono in genere segmentate, con meccanismi di autenticazione differenti e adatti a ciascuna di esse. Domanda: Qual è l'aspetto legato alla conformità? Lo standard PCI-DSS 4.0 richiede che l'accesso agli ambienti con dati dei titolari di carta utilizzi un'autenticazione forte. Il GDPR impone l'adozione di misure tecniche adeguate per proteggere i dati personali. Entrambi i framework sono soddisfatti dallo standard 802.1X basato su certificati con revoca automatizzata - a condizione che sia possibile dimostrare che la revoca sia tempestiva e testata. L'audit trail deve mostrare quando i certificati sono stati revocati e quando tale revoca è stata propagata all'applicazione sulla rete. --- RIASSUNTO E PROSSIMI PASSI - circa 1 minuto Per riassumere: l'automazione della revoca dei certificati in un ambiente NAC è un problema a tre livelli. È necessaria una CA che supporti i trigger di revoca automatizzati, un risponditore OCSP o un CRL Distribution Point altamente disponibile e adeguatamente dimensionato, e un server RADIUS configurato per applicare lo stato di revoca come parte della sua policy di accesso. La scelta tra OCSP e CRL non è binaria - si tratta di una decisione sulla tolleranza al rischio che dovrebbe essere presa nel contesto dei requisiti di sicurezza, della topologia di rete e della maturità operativa del proprio ambiente. Se si sta creando o esaminando una distribuzione NAC e si desidera comprendere come la piattaforma di guest WiFi e analytics di Purple si inserisca nella più ampia architettura di rete, i link nelle note dell'episodio rimanderanno alle guide tecniche pertinenti. Grazie per l'ascolto. Ci vediamo al prossimo briefing. --- FINE DELLO SCRIPT

header_image.png

Executive Summary

Per i direttori IT aziendali e i network architect che gestiscono ambienti ad alta densità - come le strutture ricettive del settore hospitality , i punti vendita del retail e le installazioni nel settore pubblico - la gestione del ciclo di vita dei certificati rappresenta una frontiera di sicurezza critica. Sebbene lo standard IEEE 802.1X offra un'autenticazione robusta per i dispositivi aziendali e BYOD, il meccanismo per revocare l'affidabilità viene spesso trascurato fino a quando non si verifica una violazione.

L'automazione della revoca dei certificati all'interno di un ambiente Network Access Control (NAC) tramite Online Certificate Status Protocol (OCSP) e Certificate Revocation Lists (CRL) colma il divario tra la disattivazione degli endpoint e l'applicazione delle policy di rete. Questa guida esplora i meccanismi architetturali della revoca automatizzata, confrontando le funzionalità in tempo reale di OCSP con la resilienza offline delle CRL.

Integrando le piattaforme di Mobile Device Management (MDM), le Certificate Authorities (CA) e i motori di policy NAC, le organizzazioni possono ottenere un accesso alla rete Zero-Trust in cui i dispositivi compromessi o dismessi vengono immediatamente bloccati. Questo riferimento tecnico fornisce indicazioni operative per l'implementazione, strategie di mitigazione del rischio ed esplora il modo in cui questa postura di sicurezza rivolta al personale interno integri le infrastrutture rivolte al pubblico come le piattaforme Guest WiFi e WiFi Analytics di Purple.

Approfondimento Tecnico

In qualsiasi rete aziendale che utilizzi lo standard IEEE 802.1X con EAP-TLS, i dispositivi si autenticano utilizzando certificati digitali anziché credenziali condivise. Questo approccio è fondamentale per le moderne architetture di sicurezza, in quanto fornisce identità vincolate al dispositivo e si integra perfettamente con le piattaforme MDM tramite protocolli come SCEP (per approfondire, vedi The Role of SCEP and NAC in Modern MDM Infrastructure ). Tuttavia, i certificati hanno un ciclo di vita definito. Quando un dispositivo viene smarrito, un dipendente si dimette o una chiave privata viene compromessa, l'infrastruttura di rete deve ricevere l'istruzione esplicita di non ritenere più affidabile quel certificato.

Questa istruzione di revoca viene recapitata tramite due meccanismi principali: le CRL e l'OCSP.

Architettura Certificate Revocation List (CRL)

Una CRL è un file firmato digitalmente e pubblicato dalla Certificate Authority contenente i numeri di serie di tutti i certificati che sono stati revocati ma non sono ancora scaduti. Il motore delle policy NAC (che funge da server RADIUS) scarica periodicamente questo elenco da un CRL Distribution Point (CDP) tramite HTTP o LDAP.

Durante l'handshake EAP-TLS, il server RADIUS verifica il numero di serie del certificato client in entrata confrontandolo con la sua CRL memorizzata nella cache locale. Se il numero di serie è presente, l'autenticazione viene rifiutata.

Caratteristiche Architetturali:

  • Resilienza offline: Poiché il server RADIUS memorizza nella cache la CRL, la verifica della revoca continua anche se la CA o il CDP sono irraggiungibili.
  • Latenza: Lo svantaggio principale è la latenza tra la revoca e l'applicazione. Se un certificato viene revocato alle 09:00 e l'intervallo di aggiornamento della CRL è di 24 ore, il dispositivo compromesso mantiene l'accesso alla rete fino al download successivo.
  • Infrastruttura di throughput: In ambienti con migliaia di certificati, i file CRL possono raggiungere diversi megabyte, gravando sulla larghezza di banda durante i cicli di aggiornamento.

Architettura dell'Online Certificate Status Protocol (OCSP)

OCSP risolve i limiti di latenza di CRL consentendo la verifica della revoca in tempo reale. Invece di scaricare l'intera lista, il server RADIUS invia una query mirata contenente il numero di serie del certificato a un risponditore OCSP. Il risponditore restituisce uno stato firmato: Good, Revoked o Unknown.

Caratteristiche dell'architettura:

  • Applicazione in tempo reale: Le decisioni di revoca hanno effetto immediato. Una volta che la CA aggiorna il risponditore OCSP, il successivo tentativo di autenticazione da parte del dispositivo compromesso fallirà.
  • Dipendenza dalla disponibilità: Il motore dei criteri NAC si affida all'elevata disponibilità del risponditore OCSP. Se il risponditore non è raggiungibile, l'amministratore di rete deve definire una policy di failover: "fail open" (autorizza l'accesso, compromettendo la sicurezza) o "fail closed" (nega l'accesso, compromettendo la disponibilità).
  • OCSP Stapling: Per mitigare i problemi di carico e privacy, l'OCSP stapling consente al dispositivo client di recuperare la risposta OCSP firmata e di allegarla all'handshake TLS, sebbene il supporto del supplicant possa variare.

ocsp_crl_architecture_overview.png

Integrazione con piattaforme di analisi e per gli ospiti

Laddove OCSP e CRL gestiscono i rigidi requisiti di sicurezza del personale e dei dispositivi aziendali, le reti rivolte al pubblico richiedono un'architettura diversa. Per i luoghi pubblici, l'integrazione di un solido NAC per il personale con una piattaforma pubblica dedicata come Purple garantisce una copertura completa. La piattaforma di Purple gestisce l'autenticazione tramite Captive Portal, l'accettazione dei termini di servizio e l'acquisizione dei dati per il segmento pubblico, mentre l'infrastruttura di rete sottostante (spesso gli stessi punti di accesso fisici e switch) applica 802.1X e OCSP per gli SSID aziendali. La comprensione dell'ambiente radio è fondamentale per entrambi i segmenti; si veda Wi Fi Frequencies: A Guide to Wi-Fi Frequencies in 2026 per la pianificazione dello spettro.

Guida all'implementazione

La distribuzione della revoca automatizzata dei certificati richiede il coordinamento tra i domini PKI, MDM e NAC. Seguire questi passaggi di implementazione indipendenti dal fornitore per stabilire una pipeline di revoca resiliente.

Passaggio 1: Definire i trigger di revoca

L'automazione inizia a livello di gestione degli endpoint. Configura la tua piattaforma MDM (ad es. Microsoft Intune, Jamf Pro) per attivare una chiamata API di revoca alla tua autorità di certificazione quando si verificano condizioni specifiche:

  • Quando un dispositivo viene rimosso dalla registrazione MDM
  • Quando un dispositivo viene contrassegnato come non conforme
  • Quando un account utente viene disabilitato nel servizio di directory

Passaggio 2: Configurare l'infrastruttura di revoca

Per la distribuzione CRL:

  1. Configura la CA per pubblicare la CRL su un CDP ad alta disponibilità (ad es. un server web interno con bilanciamento del carico).
  2. Imposta l'intervallo di pubblicazione della CRL in base alla tua tolleranza al rischio (ad es. ogni 4 ore).
  3. Configura il server RADIUS per recuperare la CRL a intervalli leggermente più brevi rispetto all'intervallo di pubblicazione per garantire che la cache sia sempre aggiornata.

Per la distribuzione OCSP:

  1. Distribuisci almeno due risponditori OCSP dietro un bilanciatore di carico per garantire un'elevata disponibilità.
  2. Configura la CA per inviare immediatamente gli aggiornamenti di revoca ai risponditori OCSP.
  3. Configura il server RADIUS per interrogare l'IP virtuale dell'OCSP bilanciato durante l'autenticazione EAP-TLS.

Passaggio 3: Stabilire le policy di fallback

Non affidarti a un singolo meccanismo. Configura il tuo server RADIUS per utilizzare OCSP come controllo di revoca primario e passa a una CRL memorizzata nella cache locale se il risponditore OCSP non è raggiungibile. Questo garantisce l'applicazione in tempo reale in condizioni normali e la resilienza offline in caso di interruzioni dell'infrastruttura.

Passaggio 4: Definire il comportamento in caso di errore

Se sia l'OCSP che la CRL memorizzata nella cache non sono disponibili, il server RADIUS deve decidere come gestire la richiesta di autenticazione.

  • Ambienti ad alta sicurezza (ad es. Sanità ): Configura "fail closed". Nega l'accesso per impedire la connessione di dispositivi potenzialmente compromessi.
  • Ambienti standard (ad es. hub di trasporto ): Configura "fail open" con avviso. Consenti l'accesso per mantenere la continuità operativa, ma genera un avviso ad alta priorità per il SOC.

ocsp_vs_crl_comparison_chart.png

Best Practice

  1. Implementare le CRL delta: Se ci si affida alle CRL in un ambiente di grandi dimensioni, implementa le CRL delta. Questi file contengono solo le modifiche di revoca apportate dall'ultima pubblicazione della CRL di base completa, riducendo significativamente le dimensioni del download e il consumo di banda.
  2. Monitorare la latenza OCSP: Le query OCSP avvengono in linea durante l'handshake EAP-TLS. Se il risponditore OCSP impiega 500 ms per rispondere, l'autenticazione viene ritardata di 500 ms. Monitora la latenza del risponditore e scala orizzontalmente se i tempi di risposta peggiorano.
  3. Certificati a breve durata: Prendi in considerazione la riduzione dei periodi di validità dei certificati (ad es. da 1 anno a 7 giorni) tramite il rinnovo automatico SCEP/EST. I certificati a breve durata scadono naturalmente in tempi brevi, riducendo la dipendenza da una solida infrastruttura di revoca.
  4. Allineamento con la strategia di rete globale: Assicurati che l'implementazione del NAC sia allineata con l'architettura della rete geografica. Per approfondimenti sulla progettazione delle moderne reti WAN, consulta SD WAN vs MPLS: The 2026 Enterprise Network Guide .

Risoluzione dei problemi e mitigazione dei rischi

La modalità di errore più comune della revoca automatizzata è l'interruzione del canale di comunicazione tra la CA e il NAC, che provoca un evento di tipo "fail closed" che impedisce l'accesso agli utenti legittimi.

Rischio: Interruzione del risponditore OCSP Mitigazione: Distribuisci i risponditori in un cluster active-active su più domini di errore. Implementa controlli dello stato completi sul bilanciatore di carico per verificare non solo la disponibilità della porta TCP 80, ma anche la capacità del risponditore di interrogare il database della CA.

Rischio: Cache CRL obsoleta Mitigazione: I server RADIUS potrebbero non riuscire a scaricare l'ultima CRL a causa di partizionamenti di rete o interruzioni del CDP. Implementa un sistema di monitoraggio che invii un avviso quando la CRL memorizzata nella cache locale è più vecchia dell'intervallo di pubblicazione definito.

Rischio: Revoca MDM incompleta Mitigazione: Se l'MDM non riesce a inviare una richiesta di revoca alla CA, il certificato rimane valido. Implementa uno script di riconciliazione che confronti periodicamente l'elenco dei dispositivi attivi dell'MDM con l'elenco dei certificati validi della CA e revochi automaticamente eventuali discrepanze.

ROI e impatto sul business

L'automazione della revoca dei certificati trasforma la sicurezza da un processo manuale e reattivo in un meccanismo di difesa proattivo e automatizzato.

  • Mitigazione del rischio: Eliminando la finestra di esposizione tra la compromissione del dispositivo e l'isolamento dalla rete, le organizzazioni riducono significativamente il rischio di movimenti laterali e di esfiltrazione dei dati. Questo è fondamentale per mantenere la conformità con framework come PCI-DSS e GDPR.
  • Efficienza operativa: L'automazione del flusso di revoca elimina la necessità per il personale dell'helpdesk di aggiornare manualmente le configurazioni RADIUS o i database delle CA al momento delle dimissioni del personale, risparmiando centinaia di ore all'anno nelle grandi aziende.
  • Strategia di accesso unificata: Un ambiente NAC solido per i dispositivi aziendali consente ai team IT di implementare in sicurezza servizi paralleli, come il WiFi per gli ospiti basato su analitica di Purple o i servizi basati sulla posizione (vedi BLE Low Energy Explained for Enterprise ), con la certezza che l'infrastruttura principale rimanga sicura.

Ascolta il nostro briefing tecnico su questo argomento qui sotto:

Definizioni chiave

EAP-TLS (Extensible Authentication Protocol - Transport Layer Security)

Lo standard più sicuro per l'autenticazione di rete 802.1X, che richiede sia al client sia al server di presentare certificati digitali per dimostrare la propria identità.

I team IT implementano EAP-TLS per eliminare i rischi associati all'autenticazione basata su password, garantendo che solo i dispositivi gestiti e dotati di certificato possano connettersi alla rete aziendale.

OCSP (Online Certificate Status Protocol)

Un protocollo internet utilizzato per verificare lo stato di revoca di un certificato digitale X.509 in tempo reale.

Cruciale per gli ambienti che richiedono l'applicazione immediata delle policy di accesso, ad esempio quando un dipendente viene licenziato e il suo dispositivo deve essere disconnesso istantaneamente.

CRL (Certificate Revocation List)

Un elenco pubblicato periodicamente e firmato digitalmente contenente i numeri di serie dei certificati che sono stati revocati dall'Autorità di Certificazione emittente.

Utilizzato come meccanismo di revoca principale in reti offline o isolate (air-gapped), oppure come meccanismo di fallback ad alta resilienza per OCSP.

OCSP Stapling

Un meccanismo in cui il dispositivo client richiede la propria risposta OCSP e la "allega" (staples) all'handshake TLS, presentandola al server RADIUS.

Riduce il carico sul server RADIUS e sull'OCSP Responder, migliorando la privacy ed evitando che la CA veda esattamente quando e dove un dispositivo si sta autenticando.

Delta CRL

Un elenco di revoca più piccolo contenente solo i certificati revocati dopo la pubblicazione dell'ultima CRL Base completa.

Essenziale per installazioni di grandi dimensioni al fine di evitare la congestione della rete, poiché le CRL complete possono diventare enormi e consumare una larghezza di banda significativa durante i cicli di aggiornamento.

CDP (CRL Distribution Point)

La posizione, tipicamente un URL HTTP o LDAP, in cui l'Autorità di Certificazione pubblica la CRL affinché i client e i server RADIUS possano scaricarla.

I team IT devono garantire che il CDP sia altamente disponibile e raggiungibile da tutti i motori di policy NAC; se il CDP diventa non raggiungibile, i server RADIUS non possono aggiornare le proprie cache.

Fail Open / Fail Closed

La decisione di policy che stabilisce cosa accade quando l'infrastruttura di revoca (OCSP o CDP) non è raggiungibile. Fail Open consente l'accesso; Fail Closed nega l'accesso.

Una decisione aziendale critica che bilancia il livello di sicurezza con la continuità operativa. Richiede l'approvazione sia delle operazioni IT che del CISO.

SCEP (Simple Certificate Enrollment Protocol)

Un protocollo utilizzato dalle piattaforme MDM per automatizzare il rilascio di certificati digitali ai dispositivi gestiti senza l'intervento dell'utente.

Il punto di partenza del ciclo di vita automatizzato. SCEP emette il certificato e l'MDM successivamente richiede alla CA di revocarlo quando il dispositivo viene dismesso.

Esempi pratici

La rete di un ospedale da 500 posti letto sta migrando da un sistema 802.1X basato su credenziali a EAP-TLS basato su certificati per tutti i dispositivi IoT medici e i laptop del personale. Il CISO impone che, in caso di furto segnalato di un dispositivo, il suo accesso alla rete debba essere interrotto entro 5 minuti. Il team di rete è preoccupato per il carico del server RADIUS qualora dovesse interrogare costantemente servizi esterni. Come dovrebbe essere progettata l'architettura di revoca?

L'ospedale deve implementare OCSP per soddisfare l'SLA di revoca di 5 minuti, poiché gli intervalli di aggiornamento della CRL non possono soddisfare in modo affidabile questo obiettivo senza causare un grave sovraccarico di rete. Per rispondere alle preoccupazioni sul carico del team di rete, l'architettura dovrebbe implementare risponditori OCSP locali all'interno del data center dell'ospedale, posizionati vicini ai server RADIUS per ridurre al minimo la latenza. I server RADIUS devono essere configurati per interrogare l'IP virtuale (VIP) locale di OCSP. Per garantire la resilienza, i server RADIUS devono essere configurati con un fallback su una CRL memorizzata localmente nella cache, aggiornata ogni ora. La policy di gestione dei guasti deve essere impostata su "fail closed" a causa dei rigidi requisiti di conformità dell'ambiente sanitario.

Commento dell'esaminatore: Questo approccio bilancia correttamente il rigido requisito di sicurezza (SLA di 5 minuti) con la stabilità operativa. Localizzando i risponditori OCSP, il progetto riduce la latenza e la dipendenza dalla rete WAN. L'inclusione di un fallback su CRL dimostra una comprensione matura della progettazione ad alta disponibilità, garantendo che un'interruzione temporanea di OCSP non attivi immediatamente la policy "fail closed" interrompendo le attività cliniche.

Una catena di vendita al dettaglio globale con 1.200 negozi utilizza SCEP per fornire certificati ai tablet dei punti vendita (POS). I negozi dispongono di una larghezza di banda WAN limitata. Il direttore IT desidera implementare la revoca dei certificati, ma teme che il download di file CRL di grandi dimensioni su 1.200 server RADIUS di filiale possa saturare i collegamenti WAN. Qual è la strategia di implementazione ottimale?

La catena di vendita al dettaglio dovrebbe implementare un approccio ibrido utilizzando Delta CRL e OCSP Stapling. In primo luogo, la CA dovrebbe essere configurata per pubblicare una CRL di base a cadenza settimanale e una Delta CRL (contenente solo le revoche recenti) ogni 4 ore. I server RADIUS delle filiali scaricheranno solo le piccole Delta CRL durante il giorno, riducendo al minimo l'impatto sulla WAN. In alternativa, se i supplicant EAP dei tablet POS lo supportano, dovrebbe essere abilitato l'OCSP Stapling. Questo sposta l'onere di recuperare la risposta OCSP dal server RADIUS della filiale al tablet stesso, che può recuperare la risposta direttamente dalla CA centrale tramite HTTPS standard, bypassando completamente il sovraccarico di elaborazione del server RADIUS.

Commento dell'esaminatore: Questa soluzione affronta efficacemente il vincolo specifico: la larghezza di banda WAN a livello periferico. Consigliare le Delta CRL è la pratica standard del settore per questo scenario. La raccomandazione secondaria dell'OCSP Stapling mostra una conoscenza avanzata dei meccanismi EAP-TLS, sebbene l'avvertenza relativa al supporto del supplicant sia cruciale, poiché molti dispositivi IoT o POS legacy non supportano lo stapling.

Domande di esercitazione

Q1. La tua organizzazione sta implementando lo standard 802.1X in 50 filiali remote. I collegamenti WAN verso il data centre centrale sono altamente congestionati e perdono frequentemente pacchetti. È necessario implementare la revoca dei certificati per i laptop aziendali delle filiali. Quale architettura dovresti scegliere?

Suggerimento: Considera l'impatto della perdita di pacchetti sui protocolli in tempo reale rispetto alla resilienza dei dati memorizzati nella cache.

Visualizza risposta modello

Dovresti implementare un'architettura basata su CRL, in particolare utilizzando CRL Base e Delta. Poiché i collegamenti WAN sono congestionati e inaffidabili, le query OCSP in tempo reale andranno frequentemente in timeout, causando ritardi o fallimenti dell'autenticazione. Configurando i server RADIUS delle filiali per scaricare e memorizzare in cache le Delta CRL durante le ore non di punta, il server RADIUS locale può eseguire istantaneamente i controlli di revoca sulla propria cache, anche se il collegamento WAN si interrompe completamente durante il tentativo di autenticazione.

Q2. Un audit di sicurezza rivela che quando l'OCSP Responder primario va offline per manutenzione, tutti gli utenti aziendali vengono completamente esclusi dalla rete WiFi. L'azienda richiede che la manutenzione non influisca sulla connettività degli utenti, ma il CISO rifiuta di modificare la policy in "Fail Open". Come risolvi questo problema?

Suggerimento: Se non puoi modificare la policy di fallimento, devi modificare la disponibilità del servizio.

Visualizza risposta modello

È necessario implementare l'alta disponibilità per il servizio OCSP. Distribuisci almeno un OCSP Responder aggiuntivo e posizionali entrambi dietro un bilanciatore di carico. Configura il server RADIUS per interrogare l'IP virtuale (VIP) del bilanciatore di carico. Durante la manutenzione, puoi svuotare le connessioni dal responder primario e metterlo offline; il bilanciatore di carico indirizzerà in modo trasparente tutte le query OCSP al responder secondario, soddisfacendo sia i requisiti di operatività aziendali che la direttiva "Fail Closed" del CISO.

Q3. Hai configurato il tuo MDM per revocare automaticamente i certificati quando un dispositivo viene contrassegnato come "smarrito". Testi il sistema contrassegnando un iPad di prova come smarrito. L'MDM conferma la revoca, ma 10 minuti dopo l'iPad si connette correttamente alla WiFi aziendale. Il server RADIUS è configurato per utilizzare una CRL pubblicata ogni 24 ore. Qual è la causa principale e come la risolvi?

Suggerimento: Traccia la cronologia dei dati di revoca dalla CA al motore di applicazione delle policy del server RADIUS.

Visualizza risposta modello

La causa principale è la latenza nella pubblicazione della CRL e nel ciclo di aggiornamento. Sebbene l'MDM abbia comunicato con successo alla CA di revocare il certificato, la CA non pubblicherà lo stato aggiornato sul CRL Distribution Point fino al ciclo successivo di 24 ore, e il server RADIUS non lo scaricherà finché la propria cache non sarà scaduta. Per risolvere questo problema, devi migrare a OCSP per il controllo in tempo reale o ridurre drasticamente gli intervalli di pubblicazione e download della CRL (ad esempio a 1 ora) per soddisfare i tempi di applicazione richiesti.