Estoy creando certificados personalizados con definiciones de CDP con la opción de configurar varios métodos para acceder a la CRL. Mis opciones son HTTP, LDAP y FTP. ¿Cuáles son las mejores prácticas o debo decir por qué elegir una frente a la otra?
Un punto de distribución de CRL tiene los siguientes dos requisitos:
Los tres protocolos pueden implementarse con alta disponibilidad, pero el segundo requisito hace que HTTP sea la opción preferida.
La barrera tecnológica de HTTP en comparación con FTP o LDAP es mucho menor. Se puede acceder a HTTP directamente y mediante un servidor proxy. Y el protocolo es bastante simple.
Esto no se aplica a FTP o LDAP.
FTP solo se puede utilizar en modo pasivo a través de un servidor proxy y el protocolo es un poco más complicado y menos estandarizado. Los diferentes servidores generan diferentes listas de directorios, que a veces son incompatibles entre sí.
LDAP está bien estandarizado, pero la implementación requiere decodificación ASN.1, que es más complicada que HTTP. Y no hay servidores proxy disponibles para LDAP en una puerta de enlace de seguridad perimetral de una empresa típica.
El problema con la inclusión de múltiples fuentes es que si una de estas fuentes no está disponible por algún motivo, es probable que haya algunos clientes que se den por vencidos después de intentarlo sin probar los demás. Lo que hace que su lista de revocaciones en realidad sea menos disponible, ya que estaría con una sola fuente (altamente disponible) incluida en el certificado.
Lea otras preguntas en las etiquetas cryptography