Quanto è efficace la revoca del certificato Activesync utilizzando CRL o OCSP

1

Abbiamo stabilito che alcuni dei problemi relativi al blocco degli account sono correlati ai dispositivi Activesync che utilizzano password vecchie / scadute.

Un modo per porre rimedio a un problema di blocco dell'account è quello di emettere e distribuire certificati per i nostri utenti ActiveSync. Credo che questo ci darà una maggiore sicurezza con Mutual Auth TLS.

  • Prima di implementare questa soluzione, si tratta di una soluzione valida al problema del blocco degli account? (I certificati correttamente eviteranno i blocchi prematuri degli account?)

  • I dispositivi (Windows Phone, Blackberry, iPhone, ecc.) utilizzano tutti un CRL o OCSP come previsto o ci sono problemi che dovrei evitare?

  • Ci sono delle migliori pratiche che dovrei adottare?

posta random65537 26.02.2013 - 23:40
fonte

1 risposta

1

Questa pagina sembra indicare che quando vengono utilizzati i certificati client, i client vengono autenticati dal certificato solo , senza riferimento a nessuna password (proprio come avviene con l'accesso con smart card). Nessuna password implica l'inserimento di una password non riuscita, quindi nessun blocco relativo alla password. Ovviamente, come per tutte le cose Microsoft, questo richiede alcuni test approfonditi.

Se i dispositivi caricheranno correttamente le risposte CRL o OCSP dipende da questi dispositivi e personalmente dubito che lo faranno. Si noti, tuttavia, che il dispositivo autentica il certificato server ; la convalida del certificato client avviene sul server, quindi questo è il server che dovrebbe scaricare le risposte CRL o OCSP quando vengono utilizzati i certificati client. Il software Microsoft tende a eseguire controlli di revoca in modo più o meno corretto (ovvero rifiutano la connessione quando non è possibile ottenere il CRL).

La mia parte cinica mi dice che la migliore pratica con PKI è probabilmente quella di scappare il più rapidamente possibile quando si parla dei certificati X.509. È noto che il mantenimento di una PKI richiede molto lavoro. Il PKI (Active Directory Certificate Services) di Microsoft esegue molte cose automaticamente e funziona meglio quando tutti i sistemi coinvolti fanno parte dello stesso dominio della CA.

    
risposta data 27.02.2013 - 02:05
fonte

Leggi altre domande sui tag