Ambientes exigidos pela infraestrutura de chave pública (PKI) frequentemente necessitam de uma arquitetura de protocolo de status de certificado online (OCSP). Agências governamentais dependem do OCSP para validar certificados digitais. O mesmo vale para organizações financeiras e de saúde.
Um aspecto crítico de uma arquitetura OCSP é a alta disponibilidade.
Alta disponibilidade: onde as capacidades padrão de OCSP ficam aquém.
Disrupções nos serviços de OCSP podem negar acesso a sistemas críticos ou causar falhas de autenticação. Para isso, a verificação de status de certificado deve permanecer operacional conforme falhas de servidor, interrupções de rede e outros problemas ocorram.
O problema: as capacidades padrão de OCSP dificultam a habilitação de alta disponibilidade em uma rede distribuída.
As configurações tradicionais de verificação de OCSP geralmente dependem de um servidor ou um número limitado de servidores para lidar com solicitações de status de certificado. Se ocorrer uma falha de servidor ou problema de rede, é provável que ocorra uma interrupção.
Há também a latência que vem com a consulta a um único respondedor para cada solicitação de validação de certificado. Esse método pode degradar o desempenho.
A escalabilidade também se torna uma preocupação. Acomodar a demanda crescente ou picos repentinos de tráfego pode ser complexo de navegar. Eles também têm um custo.
Em uma arquitetura OCSP, você sempre precisa de um OCSP Responsivo e um certificado de autoridade (CA). A maneira como é implantado depende de quantos usuários você precisa suportar e se está implantando em outras localizações geográficas.
Você pode enviar certificados e inseri-los no banco de dados necessário para listas de revogação de certificados (CRLs). Configurar a importação de certificados e importações de CRL é fácil, com a opção de usar o protocolo de acesso a diretório leve (LDAP) ou HTTP.
Usando LDAP versus HTTP para configurar importações de certificados
Com o LDAP, você tem o benefício de poder acessar todas as CRLs relevantes.
Isso é para Certificados DOD DISA, e as CRLs estão disponíveis em Locais LDAP e já estão configuradas para você, enquanto não há nenhum servidor HTTP fornecendo esse tipo de configuração. Se você estivesse usando HTTP para obter Certificados e Importações de CRL da DISA, você teria que configurar cada local de Importação de CRL para cada CA. O LDAP fornece todos eles de uma vez.
Embora as CRLs geralmente durem sete dias, seu tempo é configurável e geralmente deve corresponder à Declaração de Prática de Certificação (CPS) sobre com que frequência as CRLs precisam ser geradas. Em seguida, você corresponde seu banco de dados OCSP a essa política para permanecer dentro das políticas de segurança. Embora para operações críticas exigindo mais tempo, como redes desconectadas, você pode estender o banco de dados OCSP para o tempo que desejar.
Autores:
Colaborador: Sean Murray
Arquiteto de soluções de pré-vendas, Axway
