OCSP e revoca dei certificati per l'autenticazione WiFi

Questa guida completa esplora i meccanismi critici di revoca dei certificati negli ambienti WiFi aziendali, concentrandosi sul passaggio dalle CRL a OCSP. Fornisce strategie di implementazione pratiche per i team IT che gestiscono reti su larga scala e ad alta densità, dove la sicurezza in tempo reale e la bassa latenza sono fondamentali.

📖 6 minuti di lettura📝 1,362 parole🔧 2 esempi pratici❓ 3 domande di esercitazione📚 8 definizioni chiave

Ascolta questa guida

Visualizza trascrizione del podcast

Benvenuto al Technical Briefing di Purple. Sono il tuo presentatore e oggi approfondiremo un meccanismo di sicurezza fondamentale per le reti WiFi aziendali: l'OCSP e la revoca dei certificati.

Se sei un IT manager, un network architect o un CTO che gestisce implementazioni su larga scala nei settori hospitality, retail o pubblico, sai bene che l'autenticazione basata su certificati — nello specifico EAP-TLS su 802.1X — rappresenta il gold standard per proteggere l'accesso alla rete. Ma cosa succede quando un dispositivo viene compromesso, smarrito o un dipendente lascia l'azienda? Come puoi garantire che un certificato revocato venga rifiutato istantaneamente dalla tua rete?

Questo è esattamente ciò di cui parleremo oggi. Analizzeremo le differenze tra CRL e OCSP, spiegheremo come un server RADIUS verifica lo stato di revoca, esploreremo il concetto di OCSP stapling nel contesto WiFi e forniremo strategie di implementazione pratiche.

Iniziamo dalle basi: CRL contro OCSP.

Quando un dispositivo si connette al tuo WiFi utilizzando un certificato, il server RADIUS deve verificare non solo che il certificato sia matematicamente valido e non scaduto, ma anche che non sia stato esplicitamente revocato dalla Certificate Authority, o CA.

In passato, questo processo avveniva tramite una Certificate Revocation List, o CRL. Una CRL è esattamente ciò che suggerisce il nome: un file di grandi dimensioni contenente i numeri di serie di tutti i certificati revocati. Il server RADIUS scarica questo elenco periodicamente — ad esempio una volta al giorno o ogni poche ore.

Il problema delle CRL nei moderni ambienti ad alta densità è duplice: latenza e larghezza di banda. Se hai un'implementazione PKI di grandi dimensioni, quell'elenco diventa enorme. Il download consuma larghezza di banda e l'analisi richiede cicli di CPU sul server RADIUS. Peggio ancora, si crea una finestra di vulnerabilità. Se un dispositivo viene compromesso alle 9:00, ma il server RADIUS non scarica la nuova CRL fino a mezzogiorno, quel dispositivo compromesso avrà tre ore di accesso illimitato alla tua rete.

Ecco che entra in gioco l'OCSP: l'Online Certificate Status Protocol.

L'OCSP è una query mirata in tempo reale. Invece di scaricare un elenco enorme di tutti i certificati revocati, il server RADIUS interroga semplicemente l'OCSP responder della CA: "Questo specifico numero di serie del certificato è valido in questo momento?". Il responder risponde con un messaggio firmato: "Valido", "Revocato" o "Sconosciuto".

Questo riduce drasticamente la larghezza di banda e il sovraccarico di elaborazione sul server RADIUS. Cosa ancora più importante, elimina la finestra di vulnerabilità. Le revoche vengono applicate immediatamente.

Quindi, come funziona questo processo in un flusso di autenticazione WiFi?

Quando un dispositivo client — ad esempio un laptop aziendale — tenta di connettersi al WiFi, comunica con l'Access Point wireless. L'AP funge da autenticatore, trasmettendo i messaggi EAP-TLS al server RADIUS.

Il laptop presenta il proprio certificato client. Il server RADIUS convalida la firma crittografica rispetto alla sua CA radice attendibile. Successivamente, il server RADIUS sospende il processo di autenticazione, contatta in rete l'URI del risponditore OCSP incorporato nel certificato del client e attende la risposta. Se la risposta è "Good", il server RADIUS invia un messaggio di Access-Accept all'AP e il laptop si connette. Se la risposta è "Revoked", invia un Access-Reject.

Ora potresti pensare: "Questo non aggiunge latenza al processo di connessione?" Sì, è così. Ogni singola autenticazione richiede una query DNS esterna e una richiesta HTTP al risponditore OCSP. In uno stadio affollato o in un grande hotel durante i picchi di check-in, ciò può causare timeout di autenticazione.

Questo ci porta a un concetto fondamentale: l'OCSP Stapling.

Nel mondo dei server web, l'OCSP stapling è comune. Il server web interroga periodicamente il risponditore OCSP per verificare lo stato del proprio certificato, ottiene una risposta firmata e con timestamp, e "pinza" (staples) tale risposta al certificato che invia al client durante l'handshake TLS. Il client non deve interrogare la CA; si limita a verificare la firma della CA sulla risposta pinzata.

Possiamo farlo per il WiFi? Sì, ma è complesso.

In EAP-TLS, anche il server RADIUS presenta un certificato server al client, in modo che il client sappia di comunicare con la rete legittima e non con un AP clone malevolo (evil twin). Il server RADIUS può utilizzare l'OCSP stapling in questo scenario. Interroga la CA per verificare il proprio stato e pinza la risposta nel Server Hello EAP-TLS. In questo modo si evita che il dispositivo client debba eseguire una ricerca OCSP sul certificato del server RADIUS.

Tuttavia, pinzare lo stato del certificato del *client* è diverso. Il client non può pinzare il proprio stato perché la rete non si fida ancora del client. Pertanto, per la convalida del certificato client, il server RADIUS deve comunque eseguire la query OCSP tradizionale.

Per mitigare la latenza di queste query, i server RADIUS aziendali utilizzano la memorizzazione nella cache. Memorizzano nella cache una risposta OCSP "Good" per un periodo di tempo configurabile, ad esempio 15 minuti o un'ora. Ciò significa che i successivi eventi di roaming o riconnessione non attivano una nuova query esterna, bilanciando la sicurezza con le prestazioni.

Vediamo uno scenario di implementazione nel mondo reale.

Immagina una grande catena di vendita al dettaglio con migliaia di dispositivi POS e laptop aziendali che si connettono tramite EAP-TLS. Stanno implementando la piattaforma WiFi di Purple. Hanno bisogno di una sicurezza rigorosa, ma non possono permettersi che i dispositivi POS vadano in timeout durante l'autenticazione.

Ecco l'approccio consigliato:

In primo luogo, assicurati che l'infrastruttura della tua CA sia robusta. I tuoi risponditori OCSP devono essere ad alta disponibilità, idealmente dietro un bilanciatore di carico, e distribuiti geograficamente. Se il tuo server RADIUS non riesce a raggiungere il risponditore OCSP, deve decidere se applicare il "fail open" (consentire la connessione) o il "fail closed" (negare la connessione). Negli ambienti ad alta sicurezza, si applica il fail closed. Ma se il risponditore OCSP si arresta, nessuno riesce a connettersi al WiFi.

In secondo luogo, configurare la memorizzazione nella cache OCSP sui server RADIUS. Una cache di 30 minuti rappresenta un buon compromesso. Riduce significativamente il carico sulla CA e velocizza le autenticazioni, mantenendo la finestra di revoca ragionevolmente ristretta.

In terzo luogo, implementare un meccanismo di fallback. Configurare il server RADIUS per tentare prima l'OCSP. Se il risponditore OCSP non è raggiungibile, passare a una CRL memorizzata localmente nella cache. Ciò garantisce resilienza in caso di interruzioni della CA.

Infine, considerare l'impatto della scadenza dei certificati. La scadenza non è una revoca. Un certificato raggiunge semplicemente la sua data "Not After". Il server RADIUS lo rifiuterà automaticamente, senza dover controllare l'OCSP o una CRL. La sfida operativa in questo caso è la gestione del ciclo di vita, ovvero garantire che i certificati vengano rinnovati e distribuiti sui dispositivi *prima* che scadano.

Passiamo a una rapida sessione di domande e risposte basata sulle richieste più comuni dei clienti.

Domanda 1: "Utilizziamo un MDM basato su cloud per distribuire i certificati. Abbiamo ancora bisogno di OCSP?"
Risposta: Assolutamente sì. L'MDM emette il certificato, ma il server RADIUS applica il controllo dell'accesso alla rete. Se si inizializza un dispositivo nell'MDM, quest'ultimo comunica alla CA di revocare il certificato. Tuttavia, finché il server RADIUS non verifica lo stato di revoca tramite OCSP, il dispositivo può ancora connettersi al WiFi.

Domanda 2: "Cosa succede se un dispositivo è offline quando revochiamo il suo certificato?"
Risposta: Non importa se il dispositivo è offline. La revoca avviene a livello di CA. La prossima volta che il dispositivo tenterà di connettersi al WiFi, il server RADIUS verificherà l'OCSP, rileverà lo stato "Revocato" e negherà l'accesso.

Domanda 3: "Il traffico OCSP è crittografato?"
Risposta: Storicamente, le richieste OCSP venivano inviate tramite HTTP in chiaro. Questo era considerato accettabile perché la risposta stessa è firmata crittograficamente dalla CA, impedendo manomissioni. Tuttavia, le implementazioni moderne utilizzano sempre più HTTPS per proteggere la privacy, impedendo agli osservatori di vedere quali certificati vengono controllati.

Per riassumere e delineare i prossimi passi:

La revoca dei certificati è un componente non negoziabile di una distribuzione 802.1X sicura. Sebbene le CRL siano accettabili per reti di piccole dimensioni, l'OCSP è essenziale per le realtà aziendali su larga scala, in quanto garantisce sicurezza in tempo reale e un minore consumo di larghezza di banda.

Per i prossimi passi:
1. Verificare l'attuale configurazione RADIUS. Si sta controllando lo stato di revoca?
2. Se si utilizzano le CRL, valutare la dimensione dell'elenco e la frequenza di download.
3. Pianificare la migrazione a OCSP. Assicurarsi che l'infrastruttura CA sia in grado di gestire il carico delle query e configurare una memorizzazione nella cache adeguata sui server RADIUS per ottimizzare le prestazioni.

Implementando un controllo OCSP robusto, si garantisce che la distribuzione di Purple WiFi rimanga sicura, conforme e performante, offrendo un controllo assoluto su chi — e cosa — può accedere alla rete.

Grazie per aver seguito questo Purple Technical Briefing.

Punti chiave

✓L'OCSP sostituisce i pesanti download delle CRL con query sullo stato dei certificati in tempo reale e mirate, eliminando la finestra di vulnerabilità.
✓Negli ambienti 802.1X, il server RADIUS esegue la query OCSP per convalidare il certificato del client prima di concedere l'accesso alla rete.
✓L'OCSP stapling consente al server RADIUS di dimostrare la propria validità al client senza richiedere che quest'ultimo interroghi la CA.
✓La memorizzazione intelligente nella cache delle risposte OCSP "Good" sul server RADIUS è fondamentale per prevenire i timeout di autenticazione in ambienti ad alta densità.
✓L'implementazione di un meccanismo di fallback su CRL garantisce la resilienza della rete nel caso in cui il risponditore OCSP primario diventi irraggiungibile.
✓Una configurazione "fail closed" massimizza la sicurezza ma rischia di causare interruzioni diffuse, mentre il "fail open" dà priorità alla disponibilità.
✓Una gestione robusta del ciclo di vita dei certificati, inclusa una durata breve dei certificati, riduce la dipendenza dai meccanismi di revoca.

Executive Summary

Per le sedi aziendali che gestiscono reti WiFi ad alta densità, dalle grandi catene di vendita al dettaglio ai moderni centri congressi, l'autenticazione basata su certificati (EAP-TLS) rappresenta lo standard definitivo per proteggere l'accesso alla rete. Tuttavia, l'emissione di un certificato è solo metà del ciclo di vita. La sfida operativa cruciale risiede nella revoca: garantire che quando un dispositivo viene compromesso, smarrito o dismesso, il suo accesso alla rete venga interrotto immediatamente. Questa guida esplora l'architettura tecnica della revoca dei certificati, mettendo a confronto le Certificate Revocation List (CRL) legacy con l'Online Certificate Status Protocol (OCSP). Analizziamo nel dettaglio come i server RADIUS si integrano con la Public Key Infrastructure (PKI) per applicare la revoca in tempo reale, le complessità dell'OCSP stapling in un contesto 802.1X e i modelli di implementazione strategici necessari per bilanciare una sicurezza rigorosa con un'esperienza utente fluida. Implementando un controllo OCSP robusto, i gestori delle sedi possono mitigare i rischi, garantire la conformità e mantenere l'elevato throughput richiesto per il Guest WiFi e l'accesso aziendale.

Ascolta il nostro briefing esecutivo di 10 minuti su questo argomento:

Technical Deep-Dive

La meccanica della revoca in 802.1X

In un flusso di autenticazione 802.1X, l'Access Point (AP) wireless funge da autenticatore, trasmettendo i messaggi Extensible Authentication Protocol (EAP) tra il dispositivo client (supplicant) e il server RADIUS. Quando un client presenta un certificato durante l'handshake EAP-TLS, il server RADIUS deve convalidarne l'integrità crittografica, verificare la catena di attendibilità e confermare lo stato di revoca corrente.

Storicamente, questo veniva ottenuto tramite una Certificate Revocation List (CRL). Una CRL è un file firmato digitalmente contenente i numeri di serie di tutti i certificati revocati emessi da una specifica Certificate Authority (CA). Il server RADIUS scarica periodicamente questo file e lo memorizza nella cache locale. Sebbene semplici da implementare, le CRL presentano sfide di scalabilità significative. Nei grandi ambienti aziendali, come quelli del settore Retail , le CRL possono raggiungere dimensioni di diversi megabyte. Il download e l'analisi di questi elenchi consumano larghezza di banda e cicli di elaborazione. Aspetto ancora più critico, le CRL introducono una finestra di vulnerabilità: il tempo che intercorre tra la revoca di un certificato presso la CA e il download dell'elenco aggiornato da parte del server RADIUS.

La transizione a OCSP

Per superare i limiti delle CRL, è stato sviluppato l'Online Certificate Status Protocol (OCSP). L'OCSP sostituisce il modello di download massivo con un meccanismo di query mirato e in tempo reale. Quando un client presenta un certificato, il server RADIUS estrae l'URI del responder OCSP dall'estensione Authority Information Access (AIA) del certificato. Invia quindi una richiesta HTTP leggera al responder, interrogando lo stato di quello specifico numero di serie del certificato. Il responder restituisce una risposta firmata che indica se il certificato è 'Good' (valido), 'Revoked' (revocato) o 'Unknown' (sconosciuto).

Questo approccio elimina la finestra di vulnerabilità associata alle CRL, applicando le revoche immediatamente. Riduce inoltre in modo significativo il consumo di banda, poiché il server RADIUS richiede solo i dati per i certificati che tentano attivamente l'autenticazione.

OCSP Stapling in Ambienti WiFi

L'OCSP stapling è una tecnica di ottimizzazione delle prestazioni ampiamente utilizzata nei server web. Invece di far interrogare il responder OCSP dal client, il server interroga periodicamente il responder per verificare lo stato del proprio certificato. Successivamente, "pinza" (staples) la risposta firmata al certificato che presenta al client durante l'handshake TLS. Questo sposta l'onere della query dal client al server e riduce il numero di connessioni di rete esterne richieste.

Nel contesto dell'autenticazione WiFi, l'OCSP stapling è estremamente rilevante ma presenta alcune sfumature. Durante l'EAP-TLS, il server RADIUS presenta il proprio certificato server al client per dimostrare la propria identità. Il server RADIUS può utilizzare l'OCSP stapling in questa fase, allegando la risposta OCSP al Server Hello di EAP-TLS. Ciò consente al dispositivo client di verificare lo stato di revoca del server RADIUS senza richiedere una propria connessione internet, una funzionalità fondamentale per i dispositivi a cui non è ancora stato concesso l'accesso alla rete.

Tuttavia, lo stapling dello stato del certificato del client non è fattibile. Il client non può eseguire lo stapling del proprio stato perché la rete non si fida ancora del client. Pertanto, per la convalida del certificato del client, il server RADIUS deve eseguire una query OCSP tradizionale verso la CA.

Guida all'Implementazione

La distribuzione di OCSP in un ambiente aziendale ad alta densità richiede un'attenta pianificazione architetturale per garantire sia la sicurezza che la disponibilità. I passaggi seguenti delineano una strategia di distribuzione robusta.

1. Infrastruttura CA ad Alta Disponibilità

Il passaggio a OCSP introduce una dipendenza critica dall'infrastruttura del responder della CA. Se il server RADIUS non riesce a raggiungere il responder OCSP, non può verificare in modo definitivo lo stato del certificato. Pertanto, il responder OCSP deve essere altamente disponibile, distribuito geograficamente e posizionato dietro bilanciatori di carico per gestire i picchi di autenticazione, come quelli che si verificano durante una conferenza importante o un evento sportivo.

2. Configurazione del server RADIUS e Caching

Per mitigare la latenza introdotta dalle query OCSP in tempo reale, i server RADIUS aziendali devono essere configurati con meccanismi di caching intelligenti. Quando un server RADIUS riceve una risposta "Good" dal responder OCSP, dovrebbe memorizzare tale risposta nella cache per una durata configurabile, in genere compresa tra 15 e 60 minuti. Le successive richieste di autenticazione da parte dello stesso client all'interno di quella finestra temporale verranno convalidate rispetto alla cache, bypassando la query esterna. Ciò bilancia la necessità di sicurezza in tempo reale con i requisiti di prestazioni di una rete trafficata.

3. Meccanismi di Failover e Resilienza

I progettisti di rete devono definire il comportamento del server RADIUS nel caso in cui il responder OCSP non sia raggiungibile. Questo è noto come "fail open" rispetto a "fail closed". In una configurazione "fail closed", il server RADIUS negherà l'accesso se non può verificare lo stato del certificato. Questa è la posizione più sicura, ma rischia di causare interruzioni diffuse se l'infrastruttura della CA si guasta. In una configurazione "fail open", il server RADIUS consentirà l'accesso se il responder non è raggiungibile, dando priorità alla disponibilità rispetto alla sicurezza rigorosa.

Un approccio ibrido raccomandato prevede la configurazione del server RADIUS per tentare prima una query OCSP. Se il responder non è raggiungibile, il server ripiega su una CRL memorizzata localmente nella cache. Ciò fornisce resilienza contro le interruzioni della CA mantenendo al contempo un livello di base di controllo della revoca.

Best Practice

Ridurre al minimo la durata dei certificati: Sebbene la revoca gestisca l'invalidazione prematura, il controllo di sicurezza più efficace è una durata breve del certificato. Implementa il provisioning automatizzato dei certificati tramite MDM per emettere certificati validi per giorni o settimane, anziché anni. Ciò riduce interamente la dipendenza dai meccanismi di revoca. Per ulteriori letture sulla sicurezza dei dispositivi moderni, consulta la nostra guida su 802.1X Authentication: Securing Network Access on Modern Devices .
Monitorare la latenza OCSP: Monitora continuamente la latenza delle query OCSP dai tuoi server RADIUS all'infrastruttura della CA. Una latenza elevata influirà direttamente sull'esperienza dell'utente, portando a timeout di autenticazione e connessioni interrotte.
Implementare controlli di accesso rigorosi alla CA: La sicurezza della tua rete WiFi è intrinsecamente legata alla sicurezza della tua CA. Assicurati che siano attivi controlli di accesso rigorosi, autenticazione a più fattori e un auditing completo per tutte le interfacce di gestione della CA.

Risoluzione dei problemi e mitigazione dei rischi

Durante l'implementazione di OCSP, i team IT riscontrano frequentemente diverse modalità di errore comuni:

Timeout di autenticazione: se il risponditore OCSP è lento a rispondere, l'handshake EAP-TLS potrebbe andare in timeout. Ciò è spesso causato dalla congestione della rete o da un'infrastruttura CA sottodimensionata. La mitigazione prevede l'ottimizzazione del caching OCSP sul server RADIUS e il dimensionamento dell'infrastruttura del risponditore.
Disallineamento dell'orologio (Clock Skew): le risposte OCSP sono dotate di timestamp e firmate. Se l'orologio del server RADIUS non è sincronizzato con la CA, il server potrebbe rifiutare una risposta OCSP valida considerandola scaduta. Assicurarsi che tutti i componenti dell'infrastruttura siano sincronizzati tramite server NTP affidabili.
Blocco del Firewall: le query OCSP utilizzano in genere HTTP (porta 80) o HTTPS (porta 443). Assicurarsi che i firewall tra il server RADIUS e l'infrastruttura CA siano configurati per consentire questo traffico. Le implementazioni moderne utilizzano sempre più HTTPS per proteggere la privacy e impedire agli osservatori di rete di analizzare le query sui certificati.

ROI e impatto aziendale

L'implementazione di robusti meccanismi di revoca dei certificati offre un valore aziendale misurabile che va oltre la semplice conformità in materia di sicurezza.

Mitigazione del rischio: eliminando la finestra di vulnerabilità associata alle CRL, OCSP riduce significativamente il rischio che un dispositivo compromesso acceda a risorse aziendali sensibili. Ciò protegge la proprietà intellettuale e mitiga i danni finanziari e di reputazione di una violazione dei dati.
Efficienza operativa: l'automazione dei controlli di revoca tramite OCSP riduce il sovraccarico amministrativo associato alla gestione di file CRL di grandi dimensioni. I team IT possono concentrarsi su iniziative strategiche anziché sulla risoluzione dei problemi di download delle CRL.
Abilitazione alla conformità: per le strutture che operano in settori regolamentati, come la Sanità o la finanza, controlli di accesso rigorosi e la revoca in tempo reale sono spesso requisiti di conformità obbligatori (ad es. HIPAA, PCI DSS). Un'implementazione OCSP robusta garantisce una conformità continua e semplifica i processi di audit.

Definizioni chiave

OCSP (Online Certificate Status Protocol)

Un protocollo internet utilizzato per ottenere in tempo reale lo stato di revoca di un certificato digitale X.509.

Utilizzato dai server RADIUS per verificare istantaneamente se il certificato di un dispositivo è stato revocato, eliminando la finestra di vulnerabilità associata alle CRL legacy.

CRL (Certificate Revocation List)

Un elenco firmato digitalmente e aggiornato periodicamente contenente i numeri di serie dei certificati che sono stati revocati dall'Autorità di Certificazione emittente.

Il metodo legacy per il controllo della revoca. Presenta problemi di scalabilità e introduce una finestra di vulnerabilità tra un aggiornamento e l'altro.

OCSP Stapling

Un meccanismo in cui il presentatore del certificato (ad esempio, un server RADIUS) ottiene una risposta OCSP con timestamp dalla CA e la allega al certificato durante l'handshake TLS.

Utilizzato per migliorare le prestazioni e la privacy, alleggerendo il dispositivo client dall'onere della query OCSP.

EAP-TLS (Extensible Authentication Protocol - Transport Layer Security)

Un metodo di autenticazione 802.1X altamente sicuro che richiede un'autenticazione reciproca basata su certificati tra il client e il server RADIUS.

Il protocollo standard utilizzato negli ambienti WiFi aziendali che richiede un controllo robusto della revoca dei certificati.

Finestra di vulnerabilità

Il periodo di tempo che intercorre tra la revoca di un certificato presso la CA e il momento in cui il sistema di controllo (ad esempio, il server RADIUS) viene a conoscenza di tale revoca.

Uno dei motivi principali per l'adozione di OCSP rispetto alle CRL, poiché OCSP riduce efficacemente questa finestra quasi a zero.

Fail Open vs. Fail Closed

Una decisione di configurazione che determina il comportamento del sistema quando una dipendenza (come un risponditore OCSP) non è raggiungibile. Il 'fail open' consente l'accesso; il 'fail closed' lo nega.

Una decisione architetturale critica per i team IT che devono bilanciare la disponibilità della rete con una rigida conformità di sicurezza.

AIA (Authority Information Access)

Un'estensione all'interno di un certificato X.509 che indica come accedere alle informazioni e ai servizi dell'emittente del certificato, incluso l'URI del risponditore OCSP.

Il server RADIUS legge questa estensione per determinare esattamente dove inviare la query OCSP per uno specifico certificato client.

Supplicant

Il client software su un dispositivo (ad esempio, un laptop o uno smartphone) che tenta di accedere alla rete e risponde alle richieste di autenticazione.

L'entità che presenta il certificato client che il server RADIUS deve convalidare tramite il risponditore OCSP.

Esempi pratici

Un hotel di lusso da 500 camere nel settore dell' [Hospitality](/industries/hospitality) sta aggiornando la sua rete WiFi di back-of-house per utilizzare EAP-TLS per i dispositivi del personale. Attualmente utilizzano un server RADIUS centralizzato nel loro data center aziendale, connesso tramite SD-WAN. Temono che le query OCSP in tempo reale alla loro CA basata su cloud causino timeout di autenticazione durante i cambi di turno, quando centinaia di dipendenti si connettono simultaneamente.

L'implementazione deve dare priorità all'autenticazione a bassa latenza senza compromettere la sicurezza. La soluzione prevede tre passaggi: 1) Distribuire un proxy RADIUS localizzato presso la struttura alberghiera per gestire la terminazione EAP iniziale. 2) Configurare il proxy RADIUS per eseguire query OCSP e memorizzare nella cache le risposte "Good" per 60 minuti. 3) Implementare un meccanismo di fallback in cui il proxy RADIUS si affida a una CRL scaricata localmente su base giornaliera se il collegamento SD-WAN alla CA cloud fallisce.

Commento dell'esaminatore: Questo approccio attenua efficacemente il rischio di latenza. Memorizzando nella cache le risposte OCSP localmente all'edge, l'hotel evita di inviare centinaia di query simultanee attraverso la WAN durante un cambio di turno. La finestra di cache di 60 minuti è un compromesso pragmatico, che mantiene ridotta la finestra di vulnerabilità garantendo al contempo un'elevata disponibilità. Il fallback sulla CRL fornisce una resilienza critica contro le interruzioni della WAN, assicurando che il personale possa comunque autenticarsi anche se la CA cloud è temporaneamente irraggiungibile. Questa architettura si allinea con i principi discussi nel nostro articolo su [The Core SD WAN Benefits for Modern Businesses](/blog/sd-wan-benefits).

Un'importante organizzazione del settore pubblico sta distribuendo [Sensors](/products/sensors) in diversi edifici comunali. Questi dispositivi IoT si autenticano tramite 802.1X utilizzando certificati con una durata di 5 anni. Il team di sicurezza IT richiede la disconnessione immediata dalla rete nel caso in cui un sensore venga segnalato come rubato.

Data la lunga durata dei certificati, una revoca robusta è fondamentale. L'organizzazione deve configurare i propri server RADIUS per eseguire query OCSP obbligatorie per ogni richiesta di autenticazione proveniente dalla VLAN dei sensori. La memorizzazione nella cache deve essere disabilitata o impostata su una durata molto breve (ad es. 5 minuti). I server RADIUS devono essere configurati per il "fail closed": se il risponditore OCSP non è raggiungibile, al sensore viene negato l'accesso.

Commento dell'esaminatore: Sebbene i certificati a lungo termine siano generalmente sconsigliati, sono comuni nelle distribuzioni IoT a causa della difficoltà di rinnovo automatico. In questo scenario, OCSP è l'unico controllo di sicurezza efficace. La disattivazione della cache garantisce che un certificato revocato venga rifiutato quasi immediatamente al successivo tentativo di autenticazione. La configurazione "fail closed" privilegia la sicurezza rispetto alla disponibilità, il che è appropriato dato il rischio che un sensore fisico compromesso fornisca una testa di ponte nella rete comunale.

Domande di esercitazione

Q1. La tua organizzazione sta migrando dal download giornaliero delle CRL alla verifica OCSP in tempo reale per il WiFi aziendale. Durante la fase pilota, noti un aumento significativo dei timeout di autenticazione, in particolare per gli utenti che si spostano tra gli edifici. Qual è la causa più probabile e la mitigazione raccomandata?

Suggerimento: Considera la latenza introdotta dalle query di rete esterne durante l'handshake EAP-TLS.

Visualizza risposta modello

I timeout sono probabilmente causati dalla latenza dovuta all'esecuzione di una query HTTP esterna verso il risponditore OCSP per ogni evento di autenticazione, inclusi i ricollegamenti rapidi durante il roaming. La mitigazione raccomandata consiste nel configurare il caching OCSP sul server RADIUS. Memorizzando nella cache le risposte "Good" per un periodo (ad esempio, 30 minuti), i successivi eventi di roaming verranno convalidati localmente rispetto alla cache, eliminando la latenza della query esterna e prevenendo i timeout.

Q2. Un audit di sicurezza critico richiede che nessun dispositivo compromesso possa accedere alla rete per più di 5 minuti dopo la revoca del suo certificato nella piattaforma MDM. Il tuo server RADIUS è configurato per utilizzare OCSP con una cache di 60 minuti. Questa configurazione soddisfa i requisiti dell'audit?

Suggerimento: Analizza la relazione tra la durata della cache e la finestra di vulnerabilità.

Visualizza risposta modello

No, questa configurazione non soddisfa i requisiti dell'audit. La cache di 60 minuti crea una finestra di vulnerabilità fino a un'ora. Se un dispositivo si autentica e il suo stato "Good" viene memorizzato nella cache, e il certificato viene revocato 1 minuto dopo, il server RADIUS continuerà a consentire l'accesso per i restanti 59 minuti in base alla risposta memorizzata nella cache. Per soddisfare il requisito dei 5 minuti, la durata della cache OCSP deve essere ridotta a 5 minuti o meno, sebbene ciò aumenterà il carico di query sull'infrastruttura CA.

Q3. Durante un'interruzione importante dell'ISP, il tuo risponditore OCSP basato su cloud diventa irraggiungibile. Il tuo server RADIUS è configurato per il controllo OCSP con una policy "fail closed". Qual è l'impatto sulla rete e come potrebbe essere migliorata l'architettura per garantire la resilienza?

Suggerimento: Considera le implicazioni del "fail closed" quando una dipendenza critica non è disponibile.

Visualizza risposta modello

L'impatto è un'interruzione totale per tutte le nuove autenticazioni WiFi. Poiché il server RADIUS non può raggiungere il risponditore ed è configurato per il "fail closed", negherà tutte le richieste di accesso. Per migliorare la resilienza, l'architettura dovrebbe implementare un meccanismo di fallback. Il server RADIUS dovrebbe essere configurato per tentare prima l'OCSP e, se irraggiungibile, ripiegare su una CRL memorizzata localmente nella cache. Ciò consente di procedere con le autenticazioni utilizzando l'ultimo stato di revoca valido noto durante l'interruzione dell'ISP.

Continua a leggere questa serie

Come configurare SCEP per la registrazione automatica dei certificati WiFi aziendali

Questa guida spiega come configurare SCEP (Simple Certificate Enrollment Protocol) per la registrazione automatica dei certificati WiFi aziendali, coprendo l'intera architettura, da PKI e NDES fino alla distribuzione dei profili MDM e alla convalida RADIUS. Si rivolge a responsabili IT, architetti di rete e CTO di hotel, catene di vendita al dettaglio, stadi, centri congressi e organizzazioni del settore pubblico che hanno l'esigenza di superare le chiavi precondivise e implementare un'autenticazione 802.1X EAP-TLS scalabile e basata sull'identità. La piattaforma cloud overlay di Purple, indipendente dall'hardware, si integra direttamente con questa architettura, fornendo il livello WiFi per ospiti e BYOD che si affianca alla rete del personale autenticata tramite certificato.

La guida enterprise a SCEP: implementare il Simple Certificate Enrollment Protocol per la sicurezza automatizzata del WiFi nei campus

Questa guida di riferimento tecnico fornisce un modello architetturale definitivo e una strategia di implementazione passo-passo per la distribuzione dei certificati WiFi aziendali tramite SCEP. Copre le differenze cruciali tra SCEP e PKCS, l'esatta sequenza di implementazione necessaria per il successo e le strategie reali di mitigazione del rischio per i leader IT.

Come implementare SCEP per l'assegnazione automatizzata dei certificati WiFi

Questa guida spiega come implementare SCEP (Simple Certificate Enrollment Protocol) per l'assegnazione automatizzata dei certificati WiFi nelle sedi aziendali. Copre l'intero schema architetturale - dalla progettazione PKI e integrazione MDM alla sequenza obbligatoria di implementazione in tre passaggi - e mostra ai manager IT e agli architetti di rete come eliminare le credenziali condivise, automatizzare la gestione del ciclo di vita dei certificati e soddisfare i requisiti PCI DSS e GDPR su scala globale.