Salve a tutti,
da tempo abbiamo problemi con il controllo delle CRL lato server:
ho dei siti serviti da IIS sui quali l'accesso è effettuato tramite certificato digitale. Su questi siti è impostata autenticazione anonima (l'autenticazione la fa l'applicazione), quindi IIS è passante per il certificato, ma ad intervalli
casuali succede che una serie di utenti non riescano ad accedere tramite il proprio certificato (non arrivano proprio all'applicazione, vengono bloccati da IIS).
Sul client ricevono un 403 Forbidden, nei log di IIS trovo il codice di errore "403 13 2148081683"
Durante questi periodi di "buio" (il che non accade per tutte le CA configurate, quindi non vengono tagliati fuori tutti gli utenti, solo alcuni gruppi, a volte nemmeno tutti gli utenti di una stessa CA, il che farebbe pensare a qualcosa lato client,
ma disattivando il controllo delle CRL lato server passano tutti), se provo manualmente a scaricare la CRL tramite il CDP della CA riesco sempre a scaricare il file, ma gli utenti continuano a non riuscire ad accedere (ovviamente ho controllato a campione
alcuni certificati verificando che non fossero effettivamente revocati).
Abbiamo già verificato qualsiasi eventuale problema di connettività (no proxy, dns pubblici, firewall, routing, tutto ok)
Attivando il log CAPI2 trovo gli errori più disparati, spesso trovo l'errore "The revocation function was unable to check revocation because the revocation server was offline", ma non ne capisco il motivo dato che se provo a scaricare manualmente
la CRL riesco sempre a scaricarla
Spero qualcuno possa aiutarmi, grazie
Roberto
