È possibile configurare il controllo della revoca del certificato per impedire l'autenticazione degli utenti il cui certificato è stato revocato. Spesso i certificati vengono revocati quando un utente abbandona un'organizzazione, perde una smart card o passa da un reparto all'altro.
Sono supportati due tipi di controllo della revoca del certificato, ovvero tramite gli elenchi di revoche di certificati (CRL) e tramite il Protocollo di stato del certificato online (OCSP). Un CRL è un elenco di certificati revocati pubblicato dall'autorità di certificazione che ha emesso i certificati. OCSP è un protocollo di convalida del certificato utilizzato per ottenere lo stato di revoca di un certificato.
È possibile configurare sia l'elenco CRL che il protocollo OCSP nella stessa configurazione della scheda di autenticazione del certificato. Quando si configurano entrambi i tipi di controllo della revoca del certificato e la casella di controllo Usa CRL in caso di errore OCSP è selezionata, viene controllato prima il protocollo OCSP e, in caso di esito negativo, il controllo della revoca viene affidato a CRL. In caso di esito negativo di CRL, il controllo della revoca non esegue il fallback a OCSP.
Accesso con il controllo CRL
Quando si abilita la revoca del certificato, il server connettore legge un CRL per stabilire lo stato della revoca di un certificato utente.
Se un certificato risulta revocato, l'autenticazione tramite il certificato non riesce.
Accesso con il controllo del certificato OCSP
Quando si configura il controllo della revoca OCSP (Online Certificate Status Protocol), connettore invia una richiesta a un risponditore OCSP per stabilire lo stato della revoca di un certificato utente specifico. Il server connettore utilizza il certificato della firma OCSP per verificare che le risposte che riceve dal risponditore OCSP siano autentiche.
Se il certificato risulta revocato, l'autenticazione non riesce.
È possibile configurare l'autenticazione in modo che esegua il fallback al controllo CRL se non riceve alcuna risposta dal risponditore OSCP o se la risposta non è valida.