HOSTtest Plus – Werde sofort benachrichtigt, wenn deine Website ausfällt
SMS Anruf E-Mail
Jetzt kostenlos überwachen

Was ist OCSP?

Autor: HOSTTEST-Redaktion   | 10.05.2022

Was ist OCSP?Ein bekanntes Sprichwort besagt: Vertrauen ist gut, Kontrolle ist besser. Dies trifft insbesondere auf den Bereich der Datensicherheit und der Privatsphäre im Internet zu. Auch wenn die Verschlüsselung der Kommunikation durch ein SSL-Zertifikat inzwischen zum Standard gehört, bietet dies noch keine absolute Sicherheit. Denn wenn das Zertifikat seine Gültigkeit verloren hat, ist auch der Datenverkehr nicht mehr geschützt. Das Netzwerkprotokoll OCSP bietet eine Möglichkeit, den Status eines Zertifikats zu validieren.

Was ist OCSP?

Das Online Certificate Status Protocol (OCSP) ist ein Netzwerkprotokoll, welches es ermöglicht, den Status eines SSL-Zertifikats zu ermitteln. Hierfür wird eine Anfrage an einen OCSP-Responder gesendet. Dabei handelt es sich um einen Server, der oft auch vom Herausgeber des Zertifikats betrieben wird.

Der Responder kann die Anfrage mit folgenden Status beantworten:

  • good: Das Zertifikat ist nicht gesperrt.
  • revoked: Das Zertifikat ist ungültig bzw. gesperrt.
  • unknown: Der Status des Zertifikats ist nicht bekannt. Dies könnte der Fall sein, wenn der Herausgeber dem Responder unbekannt ist.

Was heißt es nun, wenn Zertifikate gesperrt sind?

 

SSL Zertifikate finden

Jetzt das perfekte SSL Zertifikat sichern

Zum SSL Zertifikat Vergleich

 

Warum werden Zertifikate gesperrt?

Sind Websites über SSL verschlüsselt, sind die jeweiligen Zertifikate über einen öffentlichen und einen privaten Schlüssel gesichert. Über die Zertifizierungsanforderung (CSR) sind auch einige Stammdaten hinterlegt, die den Besitzer des Zertifikats betreffen. Wenn ein Browser eine verschlüsselte Website aufruft, sendet er eine Anfrage an die Zertifizierungsstelle. Diese bestätigt die Gültigkeit des Zertifikats mit dem öffentlichen Schlüssel.

Die Validierung von SSL-Zertifikaten findet ganz automatisch durch den Browser statt. Dennoch besteht die Möglichkeit, dass Hacker sich des Zertifikats bemächtigt haben und die Antworten umleiten.

Sollte dies der Fall sein, ist der Herausgeber - eine der zahlreichen Zertifizierungstellen - verpflichtet, das Zertifikat sofort zu sperren. Der Client, der die Website aufruft, kann das aber nicht überprüfen, sofern die Antwort, die er von der Zertifizierungsstelle erwartet, manipuliert wurde. So kann die Browser-Anfrage auf einen externen Server umgeleitet werden, sodass dieser als die zuständige Zertifizierungsstelle im System erscheint. In einem solchen Fall wäre der Datenverkehr nicht mehr sicher und könnte von Dritten mitgelesen werden.

 

Das Netzwerkprotokoll OCSP in der Anwendung

Zertifizierungsstellen bieten meist auch einen Validierungsdienst an. Nach der Sperrung eines Zertifikats wird der veränderte Status auf dem OCSP-Responder hinterlegt.

Möchte ein Anwender den Status eines Zertifikats überprüfen, stellt er eine Anfrage über das Netzwerkprotokoll an den OCSP-Responder. Anhand der erhaltenen Antwort kann der Anwender den Status und damit die Vertrauenswürdigkeit des entsprechenden Zertifikats beurteilen.

 

Das Netzwerkprotokoll OCSP und seine Grenzen

Zwar kann mit OCSP der Staus von verschiedenen SSL-Zertifikaten ermittelt werden. Das Netzwerkprotokoll kann jedoch keinen umfassenden Aufschluss über deren Gültigkeit geben. Hierfür spielen weitere Faktoren eine Rolle, die separat geprüft werden müssen.

Es handelt sich dabei um Folgende:

  • Gültigkeitszeitraum: SSL-Zertifikate haben nur eine begrenzte Gültigkeit. Ist der Zeitraum überschritten, ist die Website nicht mehr sicher.
  • Zertifizierungspfad: Über den Zertifizierungspfad lässt sich die Hierarchie der beteiligten Zertifizierungsinstanzen feststellen. Hier sollten nur vertrauenswürdige Parteien zu finden sein.

Zur Überprüfung eines SSL-Zertifikats ist das Netzwerkprotokoll OCSP ein effektives Hilfsmittel. Dennoch bietet dieses allein keine absolute Sicherheit. Es verringert aber das Risiko, durch ein gehacktes Zertifikat zu Schaden zu kommen, erheblich.

 

SSL Zertifikate finden

Jetzt das perfekte SSL Zertifikat sichern

Zum SSL Zertifikat Vergleich

 

Bildnachweis: Gerd Altmann auf Pixabay

Schreibe einen Kommentar



    Tags zu diesem Artikel

  • SSL

Weitere Webhoster


Weitere interessante Artikel

Webhoster im Fokus Anzeige
Aktuelle Ausschreibungen
Full Rack Colocat...
Vor kurzem Beendet
vServer unmanaged...
Vor kurzem Beendet
Webhosting & Doma...
Vor kurzem Beendet
E-Mail Hosting mi...
Vor kurzem Beendet
Neueste Bewertungen
Werner N. hat hosttech Österreich bewertet
Marco K. hat IP-Projects GmbH & Co. KG bewertet
Reinhard J. hat hosttech Schweiz bewertet
Monica W. hat RACK26 bewertet
Elhedi B. D. hat Alfahosting GmbH bewertet
Knut W. hat RACK26 bewertet
Hilmar G. hat Webspace-Verkauf.de bewertet
Man7 hat Pixel X e.K. bewertet
Julian W. hat RACK26 bewertet
Hans S. hat RACK26 bewertet
Yigit K. hat Pixel X e.K. bewertet
Lisa P. hat helloly GmbH bewertet
Stefan B. hat ServMedia.de bewertet
Wolfgang S. hat helloly GmbH bewertet
Dustin R. hat Cloud86 bewertet
Luise H. hat Cloud86 bewertet
Mathias K. hat manitu bewertet
Michael D. hat Profi Webspace UG bewertet
I. S. hat STRATO GmbH bewertet
Ralf J. hat LA Webhosting bewertet