Skip to main content

CRL и OSCP в фаерволах Palo Alto Networks

Vladlen Khaziiev
Updated

Введение

Для повышения безопасности при использовании цифровых сертификатов (X.509) устройства Palo Alto Networks могут выполнять проверку их актуальности — то есть выяснять, не был ли сертификат отозван удостоверяющим центром (CA). Даже сертификат, который ещё не истёк по сроку, может быть признан недействительным — например, при компрометации ключа, увольнении сотрудника или ошибочной выдаче.

В PAN-OS доступны два метода проверки отзыва:

  • OCSP (Online Certificate Status Protocol) — запрос статуса конкретного сертификата в реальном времени.

  • CRL (Certificate Revocation List) — загрузка списка отозванных сертификатов от CA.

Проверка отзыва не обязательна, но настоятельно рекомендуется для всех профилей, связанных с аутентификацией, таких как GlobalProtect, Authentication Portal, IPsec VPN и доступ к веб-интерфейсу.

 

CRL (Certificate Revocation List)

Каждый удостоверяющий центр (CA) периодически публикует список отозванных сертификатов — CRL (Certificate Revocation List). Этот список содержит серийные номера сертификатов, которые были аннулированы до истечения срока их действия. После отзыва сертификата его номер включается в следующий выпуск CRL. Список публикуется по ссылке, указанной в самом сертификате в поле CRL Distribution Point.

Palo Alto Networks поддерживает CRL в двух форматах — DER и PEM, которые являются стандартами кодирования сертификатов.

Как работает CRL в PAN-OS

  • Firewall автоматически загружает и кэширует последний опубликованный CRL только для тех CA, от которых он уже валидировал хотя бы один сертификат.

  • Если сертификаты от конкретного CA ни разу не использовались, firewall не будет загружать CRL заранее.

  • Кэшированный CRL хранится до даты, указанной как срок действия этого списка. После этого при необходимости будет загружен обновлённый файл.

  • CRL может использоваться как основной или резервный метод (при недоступности OCSP, если включён оба).

Механизм кэширования делает использование CRL эффективным и не создаёт лишней нагрузки на сеть.

 

OCSP (Online Certificate Status Protocol)

OCSP — это более динамичный способ проверки отзыва, при котором firewall напрямую отправляет запрос OCSP-серверу (responder) с указанием серийного номера проверяемого сертификата. Сервер возвращает один из трёх ответов:

  • good — сертификат действителен,

  • revoked — сертификат отозван,

  • unknown — статус неизвестен (например, не входит в зону ответственности этого CA).

Как работает в PAN-OS

  1. При установлении SSL/TLS-соединения firewall отправляет OCSP-запрос.

  2. Запрос поступает на OCSP-сервер, связанный с удостоверяющим центром.

  3. Сервер проверяет статус сертификата и возвращает ответ.

  4. Если сертификат отозван, сессия блокируется (если задана соответствующая политика).

Кэширование OCSP

  • PAN-OS кэширует OCSP-ответы после первой успешной валидации сертификата.

  • Кэш действует до тех пор, пока ответ считается актуальным (по времени жизни, заданному в ответе сервера).

  • Это значительно снижает повторные запросы и уменьшает задержку при повторной проверке.

 

Особенности и ограничения

  • PAN-OS не проверяет статус корневого (root) CA-сертификата, так как нет вышестоящего CA, который мог бы его отозвать.

  • Проверка производится только для промежуточных и конечных сертификатов в цепочке.

  • Проверка сертификатов влияет на скорость установления SSL-соединений, особенно если OCSP/CRL-серверы недоступны или медленные.

  • Для надёжности можно использовать внутренние OCSP/CRL-серверы, если используется собственный CA.

 

Заключение

Проверка отзыва сертификатов через OCSP и CRL — важный элемент валидации доверия. OCSP обеспечивает быстрый и актуальный статус в реальном времени, а CRL даёт резервный способ проверки. Включение обоих методов с продуманной настройкой таймаутов и политик — наилучшая практика в продуктивной среде.

Related articles

Comments

0 comments

Please sign in to leave a comment.