Quando si utilizzano certificati digitali per autenticare gli host, è possibile assicurarsi che i certificati siano validi configurando il controllo della revoca dei certificati. Questa funzione esegue il controllo dell'elenco di revoche di certificati (CRL) specificato dal campo Punto di distribuzione CRL del certificato per determinare se il certificato è stato revocato.
In Extra!, è possibile abilitare il controllo CRL per tutte le sessioni che utilizzano i certificati Secure Shell e per le sessioni 3270 che utilizzano le impostazioni di protezione Micro Focus SSL/TLS.
Per attivare il controllo CRL per una sessione Secure Shell
Con un file di sessione aperto, scegliere Opzioni > Impostazioni.
A sinistra, selezionare Collegamento.
Nella scheda Generale, fare clic sul pulsante Avanzate.
Nella finestra di dialogo Impostazioni Reflection Secure Shell, fare clic sulla scheda PKI.
Selezionare Utilizza OCSP o Utilizza CRL.
NOTA:Se il controllo CRL è abilitato in Internet Explorer (tramite l'opzione Verifica revoca dei certificati del server*), per impostazione predefinita Utilizza CRL sarà selezionato in tutte le sessioni SSH di Extra!.
Le impostazioni vengono salvate in uno schema di configurazione SSH. Il controllo CRL verrà applicato in tutte le sessioni che utilizzano questo schema di configurazione SSH.
Per attivare il controllo CRL per una sessione SSL/TLS (solo 3270)
Con un file di sessione aperto, scegliere Opzioni > Impostazioni.
A sinistra, selezionare Collegamento.
Nella scheda Generale, fare clic sul pulsante Aggiungi.
Nella finestra di dialogo Configura collegamento, accertarsi che l'opzione Tipo di sicurezza sia impostata su SSL v3.0 o TLS v1.x.
Sotto Autenticazione server, selezionare una o entrambe le opzioni seguenti:
Utilizza CRL Un elenco firmato digitalmente di certificati che sono stati revocati dall'autorità di certificazione (CA). I certificati identificati in un CRL non sono più validi.
Usa protocollo di stato del certificato online Un protocollo (che utilizza il trasporto HTTP) che può essere utilizzato quale alternativa al controllo CRL per confermare la validità di un certificato. I responder OCSP rispondono alle richieste sullo stato dei certificati fornendo una delle tre risposte con firma digitale possibili: "good" (corretto), "revoked" (revocato) e "unknown" (sconosciuto). L'uso di OCSP elimina la necessità da parte dei server e/o dei client di recuperare e ordinare CRL di grosse proporzioni.
NOTA:A differenza delle sessioni SSH, questa impostazione di CRL dipende dall'opzione CRL di Internet Explorer Verifica revoca dei certificati del server*.