Supervisar el estado del certificado con OCSP
El Protocolo de estado de certificados en línea (OCSP) es un protocolo de Internet que se utiliza para determinar el estado de un certificado SSL de cliente. NetScaler Gateway admite OCSP según se define en RFC 2560. OCSP ofrece ventajas significativas sobre las listas de revocación de certificados (CRL) en términos de información oportuna. El estado de revocación actualizado de un certificado de cliente es especialmente útil en transacciones que implican grandes sumas de dinero y operaciones bursátiles de alto valor. También utiliza menos recursos del sistema y de la red. La implementación de OCSP en NetScaler Gateway incluye el procesamiento por lotes de solicitudes y el almacenamiento en caché de respuestas
Implementación de OCSP en Citrix Gateway
La validación de OCSP en un dispositivo Citrix Gateway comienza cuando Citrix Gateway recibe un certificado de cliente durante un protocolo de enlace SSL. Para validar el certificado, NetScaler Gateway crea una solicitud OCSP y la reenvía al respondedor OCSP. Para ello, NetScaler Gateway extrae la dirección URL del respondedor OCSP del certificado de cliente o utiliza una URL configurada localmente. La transacción está suspendida hasta que NetScaler Gateway evalúa la respuesta del servidor y determina si se permite o se rechaza la transacción. Si la respuesta del servidor se retrasa más allá del tiempo configurado y no hay ningún otro respondedor configurado, NetScaler Gateway permite la transacción o muestra un error, en función de si establece la comprobación de OCSP como opcional u obligatoria. NetScaler Gateway admite el procesamiento por lotes de solicitudes OCSP y el almacenamiento en caché de respuestas OCSP para reducir la carga del respondedor OCSP y proporcionar respuestas más rápidas.
Procesamiento por lotes de solicitudes OCSP
Cada vez que NetScaler Gateway recibe un certificado de cliente, envía una solicitud al respondedor OCSP. Para evitar sobrecargar el respondedor OCSP, NetScaler Gateway puede consultar el estado de más de un certificado de cliente en la misma solicitud. Para que el procesamiento por lotes de solicitudes funcione de forma eficiente, es necesario definir un tiempo de espera para que el procesamiento de un único certificado no se retrase mientras se espera formar un lote.
Almacenamiento en caché de respuestas de OCSP
El almacenamiento en caché de las respuestas recibidas del respondedor OCSP permite respuestas más rápidas para el usuario y reduce la carga del respondedor OCSP. Al recibir el estado de revocación de un certificado de cliente del respondedor OCSP, NetScaler Gateway almacena en caché la respuesta localmente durante un período de tiempo predefinido. Cuando se recibe un certificado de cliente durante un protocolo de enlace SSL, NetScaler Gateway comprueba primero su caché local en busca de una entrada para este certificado. Si se encuentra una entrada que sigue siendo válida (dentro del límite de tiempo de espera de la caché), se evalúa la entrada y se acepta o rechaza el certificado de cliente. Si no se encuentra un certificado, NetScaler Gateway envía una solicitud al respondedor OCSP y almacena la respuesta en su caché local durante un período de tiempo configurado.