Was ist OCSP?

Autor: HOSTTEST-Redaktion   |10.05.2022

Was ist OCSP?Ein bekanntes Sprichwort besagt: Vertrauen ist gut, Kontrolle ist besser. Dies trifft insbesondere auf den Bereich der Datensicherheit und der Privatsphäre im Internet zu. Auch wenn die Verschlüsselung der Kommunikation durch ein SSL-Zertifikat inzwischen zum Standard gehört, bietet dies noch keine absolute Sicherheit. Denn wenn das Zertifikat seine Gültigkeit verloren hat, ist auch der Datenverkehr nicht mehr geschützt. Das Netzwerkprotokoll OCSP bietet eine Möglichkeit, den Status eines Zertifikats zu validieren.

Was ist OCSP?

Das Online Certificate Status Protocol (OCSP) ist ein Netzwerkprotokoll, welches es ermöglicht, den Status eines SSL-Zertifikats zu ermitteln. Hierfür wird eine Anfrage an einen OCSP-Responder gesendet. Dabei handelt es sich um einen Server, der oft auch vom Herausgeber des Zertifikats betrieben wird.

Der Responder kann die Anfrage mit folgenden Status beantworten:

  • good: Das Zertifikat ist nicht gesperrt.
  • revoked: Das Zertifikat ist ungültig bzw. gesperrt.
  • unknown: Der Status des Zertifikats ist nicht bekannt. Dies könnte der Fall sein, wenn der Herausgeber dem Responder unbekannt ist.

Was heißt es nun, wenn Zertifikate gesperrt sind?

 

SSL Zertifikate finden

Jetzt das perfekte SSL Zertifikat sichern

Zum SSL Zertifikat Vergleich

 

Warum werden Zertifikate gesperrt?

Sind Websites über SSL verschlüsselt, sind die jeweiligen Zertifikate über einen öffentlichen und einen privaten Schlüssel gesichert. Über die Zertifizierungsanforderung (CSR) sind auch einige Stammdaten hinterlegt, die den Besitzer des Zertifikats betreffen. Wenn ein Browser eine verschlüsselte Website aufruft, sendet er eine Anfrage an die Zertifizierungsstelle. Diese bestätigt die Gültigkeit des Zertifikats mit dem öffentlichen Schlüssel.

Die Validierung von SSL-Zertifikaten findet ganz automatisch durch den Browser statt. Dennoch besteht die Möglichkeit, dass Hacker sich des Zertifikats bemächtigt haben und die Antworten umleiten.

Sollte dies der Fall sein, ist der Herausgeber - eine der zahlreichen Zertifizierungstellen - verpflichtet, das Zertifikat sofort zu sperren. Der Client, der die Website aufruft, kann das aber nicht überprüfen, sofern die Antwort, die er von der Zertifizierungsstelle erwartet, manipuliert wurde. So kann die Browser-Anfrage auf einen externen Server umgeleitet werden, sodass dieser als die zuständige Zertifizierungsstelle im System erscheint. In einem solchen Fall wäre der Datenverkehr nicht mehr sicher und könnte von Dritten mitgelesen werden.

 

Das Netzwerkprotokoll OCSP in der Anwendung

Zertifizierungsstellen bieten meist auch einen Validierungsdienst an. Nach der Sperrung eines Zertifikats wird der veränderte Status auf dem OCSP-Responder hinterlegt.

Möchte ein Anwender den Status eines Zertifikats überprüfen, stellt er eine Anfrage über das Netzwerkprotokoll an den OCSP-Responder. Anhand der erhaltenen Antwort kann der Anwender den Status und damit die Vertrauenswürdigkeit des entsprechenden Zertifikats beurteilen.

 

Das Netzwerkprotokoll OCSP und seine Grenzen

Zwar kann mit OCSP der Staus von verschiedenen SSL-Zertifikaten ermittelt werden. Das Netzwerkprotokoll kann jedoch keinen umfassenden Aufschluss über deren Gültigkeit geben. Hierfür spielen weitere Faktoren eine Rolle, die separat geprüft werden müssen.

Es handelt sich dabei um Folgende:

  • Gültigkeitszeitraum: SSL-Zertifikate haben nur eine begrenzte Gültigkeit. Ist der Zeitraum überschritten, ist die Website nicht mehr sicher.
  • Zertifizierungspfad: Über den Zertifizierungspfad lässt sich die Hierarchie der beteiligten Zertifizierungsinstanzen feststellen. Hier sollten nur vertrauenswürdige Parteien zu finden sein.

Zur Überprüfung eines SSL-Zertifikats ist das Netzwerkprotokoll OCSP ein effektives Hilfsmittel. Dennoch bietet dieses allein keine absolute Sicherheit. Es verringert aber das Risiko, durch ein gehacktes Zertifikat zu Schaden zu kommen, erheblich.

 

SSL Zertifikate finden

Jetzt das perfekte SSL Zertifikat sichern

Zum SSL Zertifikat Vergleich

 

Bildnachweis: Gerd Altmann auf Pixabay

Schreibe einen Kommentar



    Tags zu diesem Artikel

  • SSL

Weitere Webhoster


Weitere interessante Artikel

Verschlüsselung als Grundpfeiler der Digitalisierung

Wir durften mit der Geschäftsführerin Patrycja Schrenk während des CloudFests 2023 über die Wichtigkeit der Verschlüssel...

Was ist ein Wildcard SSL Zertifikat?

Wir erklären was ein SSL Wildcard Zertifikat ist und wie man es beantragen kann.

Webhoster im Fokus Anzeige
Offene IT-Stellen
IT-Systemadminist...
IP-Projects GmbH & Co. KG
Aktuelle Ausschreibungen
Providerwechsel
noch 13 Tage und 9 Stunden
VPS with Virtuali...
noch 13 Tage und 9 Stunden
Webhosting mit E-...
Vor kurzem Beendet
WordPress Hosting...
Vor kurzem Beendet
Neueste Bewertungen
Julian U. hat STRATO GmbH bewertet
Jennifer hat Alfahosting GmbH bewertet
Severin L. hat DomainFactory bewertet
Markus L. hat SiteGround bewertet
Vladimir V. hat SpeedIT Solutions bewertet
Helmut hat Web-Service4U bewertet
Johann Z. hat lima-city bewertet
Thomas hat Pixel X e.K. bewertet
Michele hat Host-On.de bewertet
Marcus W. hat webgo bewertet
Timo L. hat SpeedIT Solutions bewertet
Gregor G. hat goneo bewertet
Cetin K. hat FireStorm GmbH bewertet
M. F. hat menkiSys Networks e. U. bewertet
KEPs X. hat LA Webhosting bewertet
Tilo L. hat goneo bewertet
Richhard R. hat ServMedia.de bewertet
Thomas hat lima-city bewertet
Peter H. hat LA Webhosting bewertet
Michael O. hat Alfahosting GmbH bewertet