Al distribuir una CRL a través de HTTP, ¿cuál es la configuración óptima de caché y edad máxima (etc.) para este mecanismo de distribución?
Información relacionada sobre una respuesta diferente
Considere utilizar HTTP en lugar de LDAP. Aunque AD DS permite la publicación de CRL en todos los controladores de dominio del bosque, implemente HTTP en lugar de LDAP para publicación de información de revocación. Solo HTTP permite el uso de ETag y Cache-Control: encabezados Max-age Proporcionando un mejor soporte para los proxies y una revocación más oportuna información. Además, HTTP proporciona un mejor soporte heterogéneo. como HTTP es compatible con la mayoría de los clientes de dispositivos de red, Linux y UNIX.
Otra razón para no usar LDAP es porque la ventana de revocación es más pequeña. Cuando se usa AD LDAP para replicar la información de CA, la la ventana de revocación no puede ser menor que la de todos los sitios en AD para obtener la actualización de CA. A menudo esta replicación puede llevar hasta 8 horas ... es decir, 8 horas hasta que se revoque el acceso de un usuario de tarjeta inteligente. 'Todo: el nuevo tiempo de actualización de CRL recomendado es: ?????
...
Duración del caché de OCSP
Todas las acciones de OCSP se producen a través del protocolo HTTP y, por lo tanto, son sujeto a las reglas típicas de caché de proxy HTTP.
Específicamente, el encabezado de edad máxima define el tiempo máximo que un proxy El servidor o cliente almacenará en caché una respuesta de CRL u OCSP antes de usar una GET condicional para determinar si el objeto ha cambiado. Utilizar esta información para configurar el servidor web para establecer la adecuada encabezados Busque en otra parte de esta página los comandos específicos de AD-IIS para esto.