Desvantagens da alteração do modo de revogação de certificado

Question

Desvantagens da alteração do modo de revogação de certificado

#1 resposta do (4 votos)

3

Recentemente, nosso provedor de certificado SSL teve uma interrupção. Os serviços da Web que usaram o certificado emitido pelo provedor de certificado pararam de funcionar porque o RevocationMode do serviço da Web foi definido como "Online" (que é padrão para serviços WCF), significando que "Uma verificação de revogação é feita usando uma lista de revogação de certificado on-line (CRL) ) ".

Para garantir que nossos serviços estejam disponíveis mesmo quando o provedor de certificados ficar inativo (pelo menos por pessoas que já acessaram os serviços da Web anteriormente), estamos pensando em mudar para o modo Revocation - "Offline", significando que "Uma verificação de revogação é feita usando uma lista de certificados revogados em cache (CRL) ". Eu pesquisei extensivamente, mas não consegui descobrir quais são os inconvenientes de mudar do modo de revogação "Online" para um modo "Offline" em cache.

Quais são as implicações de mover nossos serviços do WCF para verificações off-line?

ssl-certificate

por Victor F 09.05.2013 / 18:41

1 resposta

Tags ssl-certificate

Como o iostat calcula que o tempo ocioso da CPU seja considerado como% ocioso ou% iowait? Sistema de energia de backup para um pequeno escritório: UPS, ATS, gerador etc

score 4 · Accepted Answer

As verificações de CRL on-line são mais rápidas para revogar um certificado.
Se você revogar seu certificado devido a um comprometimento, uma verificação on-line revelará isso imediatamente.

As verificações de CRL offline são comparativamente mais lentas.
Se você revogar seu certificado devido a um comprometimento, seus clientes não descobrirão até a próxima vez que atualizarem sua cópia em cache da CRL.

Portanto, a implicação é que você está expondo seus usuários a certificados comprometidos por um período maior se você usar a validação de modo offline (em cache).

Uma solução melhor do ponto de vista da segurança seria tornar a CRL on-line redundante.
Isso requer algum investimento em capital e manutenção, mas permite que você continue aproveitando a segurança aprimorada disponível por meio de verificações on-line da CRL.