Supervisión del estado del certificado con OCSP

Protocolo de estado de certificados en línea (OCSP) es un protocolo de Internet que se utiliza para determinar el estado de un certificado SSL de cliente. Citrix Gateway admite OCSP tal como se define en RFC 2560. OCSP ofrece ventajas significativas sobre las listas de revocación de certificados (CRL) en términos de información oportuna. El estado actualizado de revocación de un certificado de cliente es especialmente útil en transacciones que implican grandes sumas de dinero y operaciones bursátiles de alto valor. También utiliza menos recursos del sistema y de la red. La implementación de Citrix Gateway de OCSP incluye el procesamiento por lotes de solicitudes y el almacenamiento en caché de respuestas.

Implementación de Citrix Gateway de OCSP

La validación de OCSP en un dispositivo Citrix Gateway comienza cuando Citrix Gateway recibe un certificado de cliente durante un protocolo de enlace SSL. Para validar el certificado, Citrix Gateway crea una solicitud OCSP y la reenvía al respondedor de OCSP. Para ello, Citrix Gateway extrae la dirección URL del respondedor OCSP del certificado de cliente o utiliza una dirección URL configurada localmente. La transacción se encuentra en un estado suspendido hasta que Citrix Gateway evalúa la respuesta del servidor y determina si se permite la transacción o si se rechaza. Si la respuesta del servidor se retrasa más allá del tiempo configurado y no hay otros respondedores configurados, Citrix Gateway permite la transacción o muestra un error, dependiendo de si establece la comprobación OCSP como opcional u obligatoria. Citrix Gateway admite el procesamiento por lotes de solicitudes de OCSP y el almacenamiento en caché de las respuestas de OCSP para reducir la carga en el respondedor de OCSP y proporcionar respuestas más rápidas.

Lotes de Solicitudes OCSP

Cada vez que Citrix Gateway recibe un certificado de cliente, envía una solicitud al respondedor de OCSP. Para evitar sobrecargar el respondedor OCSP, Citrix Gateway puede consultar el estado de más de un certificado de cliente en la misma solicitud. Para que el procesamiento por lotes de solicitudes funcione de manera eficiente, debe definir un tiempo de espera para que el procesamiento de un solo certificado no se retrase mientras espera para formar un lote.

Almacenamiento en caché de respuesta OCSP

El almacenamiento en caché de las respuestas recibidas del respondedor de OCSP permite respuestas más rápidas al usuario y reduce la carga en el respondedor de OCSP. Al recibir el estado de revocación de un certificado de cliente del respondedor de OCSP, Citrix Gateway almacena en caché la respuesta localmente durante un período de tiempo predefinido. Cuando se recibe un certificado de cliente durante un protocolo de enlace SSL, Citrix Gateway comprueba primero en su caché local una entrada para este certificado. Si se encuentra una entrada que sigue siendo válida (dentro del límite de tiempo de espera de caché), se evalúa la entrada y se acepta o rechaza el certificado de cliente. Si no se encuentra un certificado, Citrix Gateway envía una solicitud al respondedor de OCSP y almacena la respuesta en su caché local durante un período de tiempo configurado.