¿Qué tan efectiva es la revocación del Certificado Activesync usando CRL o OCSP?

1

Determinamos que algunos de los problemas de bloqueo de nuestra cuenta están relacionados con los dispositivos Activesync que usan contraseñas antiguas / caducadas.

Una forma de solucionar un problema de bloqueo de cuenta es emitir e implementar certificados para nuestros usuarios de ActiveSync. Creo que esto nos dará una mayor seguridad con Mutual Auth TLS.

  • Antes de implementar esto, ¿es esta una solución válida al problema de bloqueo de cuenta? (¿Los certificados evitarán adecuadamente los bloqueos prematuros de cuentas?)

  • ¿Todos los dispositivos (Windows Phone, Blackberry, iPhone, etc.) usan una CRL o OCSP como se espera o hay problemas que debería evitar?

  • ¿Debo adoptar alguna de las mejores prácticas?

pregunta random65537 26.02.2013 - 23:40
fuente

1 respuesta

1

Esta página parece indicar que cuando se utilizan certificados de clientes, los certificados se autentican mediante el certificado solo , sin referencia a ninguna contraseña (como lo hace con el inicio de sesión con tarjeta inteligente). Ninguna contraseña implica que no haya entrada de contraseña fallida, por lo tanto no hay bloqueo relacionado con la contraseña. Por supuesto, como con todas las cosas de Microsoft, esto requiere algunas pruebas exhaustivas.

El hecho de que los dispositivos descarguen correctamente las respuestas de CRL u OCSP depende de estos dispositivos, y personalmente dudo que lo hagan. Sin embargo, tenga en cuenta que el dispositivo autentica el certificado servidor ; la validación del certificado del cliente se realiza en el servidor, de modo que es el servidor el que debe descargar las respuestas CRL u OCSP cuando se utilizan los certificados de los clientes. El software de Microsoft tiende a realizar verificaciones de revocación más o menos adecuadamente (es decir, rechazan la conexión cuando no se puede obtener la CRL).

Mi parte cínica me dice que la mejor práctica con PKI es probablemente huir lo más rápido posible cuando se habla de los certificados X.509. Se sabe que mantener una PKI es mucho trabajo. La PKI de Microsoft (Active Directory Certificate Services) hace muchas cosas automáticamente y funciona mejor cuando todos los sistemas involucrados son parte del mismo dominio que el CA.

    
respondido por el Thomas Pornin 27.02.2013 - 02:05
fuente

Lea otras preguntas en las etiquetas