OCSP 與 WiFi 驗證的憑證撤銷

歡迎收聽 Purple 技術簡報。我是主持人，今天我們將深入探討企業 WiFi 網絡的一個關鍵安全機制：OCSP 和憑證撤銷。 如果您是 IT 經理、網絡架構師或在酒店業、零售業或公共部門環境中管理大規模部署的 CTO，您就知道基於憑證的驗證——特別是 802.1X 上的 EAP-TLS——是保護網絡訪問的黃金標準。但是，當設備被入侵、遺失或員工離職時會發生什麼？您如何確保被撤銷的憑證立即被您的網絡拒絕？ 這正是我們今天要涵蓋的內容。我們將分析 CRL 和 OCSP 之間的差異，解釋 RADIUS 伺服器如何檢查撤銷狀態，探討在 WiFi 環境中的 OCSP 裝訂概念，並提供可行的實施策略。 讓我們從基礎開始：CRL 對比 OCSP。 當設備使用憑證連接到您的 WiFi 時，RADIUS 伺服器需要驗證該憑證不僅在數學上有效且未過期，而且還沒有被憑證授權單位或 CA 明確撤銷。 傳統上，這是使用憑證撤銷清單或 CRL 完成的。CRL 正是其名稱所示：一個包含每個已撤銷憑證序號的大檔案。RADIUS 伺服器定期下載此清單——可能每天一次，或每隔幾小時一次。 在現代高密度環境中，CRL 的問題有兩個：延遲和頻寬。如果您有大型的 PKI 部署，該清單會變得非常龐大。下載它需要頻寬，解析它會消耗 RADIUS 伺服器的 CPU 週期。更糟的是，存在漏洞窗口。如果設備在上午 9 點被入侵，但您的 RADIUS 伺服器直到中午才拉取新的 CRL，那麼該被入侵的設備就有三個小時不受限制地訪問您的網絡。 進入 OCSP：線上憑證狀態協議。 OCSP 是一種即時、針對性的查詢。RADIUS 伺服器不下載每個已撤銷憑證的龐大清單，而是簡單地詢問 CA 的 OCSP 回應器：「嘿，這個特定的憑證序號現在有效嗎？」回應器回覆一個簽章訊息：「良好」、「已撤銷」或「未知」。 這大幅減少了 RADIUS 伺服器上的頻寬和處理開銷。更重要的是，它關閉了漏洞窗口。撤銷立即被執行。 那麼，這在 WiFi 驗證流程中如何運作？ 當客戶端設備——比如企業筆記型電腦——嘗試連接到 WiFi 時，它與無線存取點通訊。AP 作為驗證者，將 EAP-TLS 訊息傳遞給 RADIUS 伺服器。 筆記型電腦出示其客戶端憑證。RADIUS 伺服器根據其信任的根 CA 驗證加密簽章。然後，RADIUS 伺服器暫停驗證過程。它透過網絡連接到嵌入在客戶端憑證中的 OCSP 回應器 URI。它等待回應。如果回應是「良好」，RADIUS 伺服器向 AP 發送訪問接受訊息，筆記型電腦得以連線。如果回應是「已撤銷」，則發送訪問拒絕。 現在，您可能在想，「這不會增加連接過程的延遲嗎？」是的，確實會。每一次驗證都需要外部 DNS 查詢和對 OCSP 回應器的 HTTP 請求。在繁忙的體育場或大型酒店入住高峰期，這可能會導致驗證超時。 這將我們引向一個關鍵概念：OCSP 裝訂。 在網頁伺服器領域，OCSP 裝訂很常見。網頁伺服器定期查詢 OCSP 回應器以獲取自己的憑證狀態，獲得帶有時間戳記的簽章回應，並將該回應「裝訂」到它在 TLS 握手期間發送給客戶端的憑證上。客戶端無需查詢 CA；它只需驗證裝訂回應上 CA 的簽章。 我們能為 WiFi 這樣做嗎？可以，但很複雜。 在 EAP-TLS 中，RADIUS 伺服器也會向客戶端出示伺服器憑證，以便客戶端知道它正在與合法網絡通訊，而非邪惡雙胞胎 AP。RADIUS 伺服器可以在這裡使用 OCSP 裝訂。它查詢 CA 以獲取自己的狀態，並將回應裝訂到 EAP-TLS 伺服器 Hello 訊息中。這免除了客戶端設備對 RADIUS 伺服器憑證進行 OCSP 查詢的需要。 然而，裝訂 *客戶端* 憑證狀態是不同的。客戶端無法裝訂自己的狀態，因為網絡尚未信任該客戶端。因此，對於客戶端憑證驗證，RADIUS 伺服器仍然必須執行傳統的 OCSP 查詢。 為了減輕這些查詢的延遲，企業 RADIUS 伺服器使用快取。它們會將「良好」的 OCSP 回應快取一段可配置的時間——比如 15 分鐘或一小時。這意味著後續的漫遊事件或重新連接不會觸發新的外部查詢，從而在安全性與效能之間取得平衡。 讓我們來看一個現實世界的實施場景。 想像一家大型零售連鎖店，擁有數千台銷售點設備和企業筆記型電腦透過 EAP-TLS 連接。他們正在推出 Purple 的 WiFi 平台。他們需要嚴格的安全性，但無法承受 POS 設備在驗證期間超時。 以下是建議的方法： 首先，確保您的 CA 基礎設施穩健。您的 OCSP 回應器必須高可用，理想情況下在負載均衡器之後，並且地理分佈。如果您的 RADIUS 伺服器無法連接 OCSP 回應器，它必須決定是「開放故障」（允許連接）還是「關閉故障」（拒絕連接）。在高安全性環境中，您選擇關閉故障。但如果您的 OCSP 回應器發生故障，沒有人能連上 WiFi。 其次，在您的 RADIUS 伺服器上配置 OCSP 快取。30 分鐘的快取是一個不錯的中間方案。它顯著減少了 CA 的負載並加快了驗證速度，同時使撤銷窗口保持合理的緊密。 第三，實施回退機制。配置您的 RADIUS 伺服器首先嘗試 OCSP。如果 OCSP 回應器無法連接，則回退到本地快取的 CRL。這提供了對 CA 中斷的恢復能力。 最後，考慮憑證過期的影響。過期不是撤銷。憑證僅僅達到了其「不晚於」日期。您的 RADIUS 伺服器將自動拒絕它，無需檢查 OCSP 或 CRL。這裡的營運挑戰是生命週期管理——確保憑證在過期 *之前* 被續期並部署到設備上。 讓我們根據常見的客戶問題進行快速問答。 問題 1：「我們使用雲端 MDM 推送憑證。我們仍然需要 OCSP 嗎？」 答案：當然。您的 MDM 簽發憑證，但 RADIUS 伺服器執行網絡訪問。如果您在 MDM 中抹掉了設備，MDM 會通知 CA 撤銷該憑證。但在 RADIUS 伺服器通過 OCSP 檢查該撤銷狀態之前，該設備仍然可以連接到 WiFi。 問題 2：「當我們撤銷憑證時，如果設備離線會怎樣？」 答案：設備是否離線無關緊要。撤銷發生在 CA 層級。下次該設備嘗試連接 WiFi 時，RADIUS 伺服器將檢查 OCSP，看到「已撤銷」狀態，並拒絕訪問。 問題 3：「OCSP 流量是加密的嗎？」 答案：傳統上，OCSP 請求是透過純 HTTP 發送的。這被認為是可以接受的，因為回應本身由 CA 加密簽章，防止篡改。然而，現代實施越來越傾向使用 HTTPS 來保護隱私，防止觀察者看到正在檢查哪些憑證。 總結並概述後續步驟： 憑證撤銷是安全 802.1X 部署中不容妥協的組成部分。雖然 CRL 對小型網絡是可接受的，但 OCSP 對企業規模至關重要，提供即時安全性和較低的頻寬開銷。 針對您的後續步驟： 1. 審計您目前的 RADIUS 配置。您是否正在檢查撤銷狀態？ 2. 如果您正在使用 CRL，評估您的清單大小和下載頻率。 3. 計劃遷移到 OCSP。確保您的 CA 基礎設施能夠處理查詢負載，並在您的 RADIUS 伺服器上配置合理的快取以最佳化效能。 通過實施強大的 OCSP 檢查，您確保您的 Purple WiFi 部署保持安全、合規和高效，讓您完全控制誰——以及什麼——可以訪問您的網絡。 感謝收聽此 Purple 技術簡報。