Gewinne tolle Preise & stimme für den Webhoster des Jahres 2022 ab! Jetzt teilnehmen

Was ist OCSP?

Autor: HOSTTEST-Redaktion   |10.05.2022

Was ist OCSP?Ein bekanntes Sprichwort besagt: Vertrauen ist gut, Kontrolle ist besser. Dies trifft insbesondere auf den Bereich der Datensicherheit und der Privatsphäre im Internet zu. Auch wenn die Verschlüsselung der Kommunikation durch ein SSL-Zertifikat inzwischen zum Standard gehört, bietet dies noch keine absolute Sicherheit. Denn wenn das Zertifikat seine Gültigkeit verloren hat, ist auch der Datenverkehr nicht mehr geschützt. Das Netzwerkprotokoll OCSP bietet eine Möglichkeit, den Status eines Zertifikats zu validieren.

Was ist OCSP?

Das Online Certificate Status Protocol (OCSP) ist ein Netzwerkprotokoll, welches es ermöglicht, den Status eines SSL-Zertifikats zu ermitteln. Hierfür wird eine Anfrage an einen OCSP-Responder gesendet. Dabei handelt es sich um einen Server, der oft auch vom Herausgeber des Zertifikats betrieben wird.

Der Responder kann die Anfrage mit folgenden Status beantworten:

  • good: Das Zertifikat ist nicht gesperrt.
  • revoked: Das Zertifikat ist ungültig bzw. gesperrt.
  • unknown: Der Status des Zertifikats ist nicht bekannt. Dies könnte der Fall sein, wenn der Herausgeber dem Responder unbekannt ist.

Was heißt es nun, wenn Zertifikate gesperrt sind?

 

SSL Zertifikate finden

Jetzt das perfekte SSL Zertifikat sichern

Zum SSL Zertifikat Vergleich

 

Warum werden Zertifikate gesperrt?

Sind Websites über SSL verschlüsselt, sind die jeweiligen Zertifikate über einen öffentlichen und einen privaten Schlüssel gesichert. Über die Zertifizierungsanforderung (CSR) sind auch einige Stammdaten hinterlegt, die den Besitzer des Zertifikats betreffen. Wenn ein Browser eine verschlüsselte Website aufruft, sendet er eine Anfrage an die Zertifizierungsstelle. Diese bestätigt die Gültigkeit des Zertifikats mit dem öffentlichen Schlüssel.

Die Validierung von SSL-Zertifikaten findet ganz automatisch durch den Browser statt. Dennoch besteht die Möglichkeit, dass Hacker sich des Zertifikats bemächtigt haben und die Antworten umleiten.

Sollte dies der Fall sein, ist der Herausgeber - eine der zahlreichen Zertifizierungstellen - verpflichtet, das Zertifikat sofort zu sperren. Der Client, der die Website aufruft, kann das aber nicht überprüfen, sofern die Antwort, die er von der Zertifizierungsstelle erwartet, manipuliert wurde. So kann die Browser-Anfrage auf einen externen Server umgeleitet werden, sodass dieser als die zuständige Zertifizierungsstelle im System erscheint. In einem solchen Fall wäre der Datenverkehr nicht mehr sicher und könnte von Dritten mitgelesen werden.

 

Das Netzwerkprotokoll OCSP in der Anwendung

Zertifizierungsstellen bieten meist auch einen Validierungsdienst an. Nach der Sperrung eines Zertifikats wird der veränderte Status auf dem OCSP-Responder hinterlegt.

Möchte ein Anwender den Status eines Zertifikats überprüfen, stellt er eine Anfrage über das Netzwerkprotokoll an den OCSP-Responder. Anhand der erhaltenen Antwort kann der Anwender den Status und damit die Vertrauenswürdigkeit des entsprechenden Zertifikats beurteilen.

 

Das Netzwerkprotokoll OCSP und seine Grenzen

Zwar kann mit OCSP der Staus von verschiedenen SSL-Zertifikaten ermittelt werden. Das Netzwerkprotokoll kann jedoch keinen umfassenden Aufschluss über deren Gültigkeit geben. Hierfür spielen weitere Faktoren eine Rolle, die separat geprüft werden müssen.

Es handelt sich dabei um Folgende:

  • Gültigkeitszeitraum: SSL-Zertifikate haben nur eine begrenzte Gültigkeit. Ist der Zeitraum überschritten, ist die Website nicht mehr sicher.
  • Zertifizierungspfad: Über den Zertifizierungspfad lässt sich die Hierarchie der beteiligten Zertifizierungsinstanzen feststellen. Hier sollten nur vertrauenswürdige Parteien zu finden sein.

Zur Überprüfung eines SSL-Zertifikats ist das Netzwerkprotokoll OCSP ein effektives Hilfsmittel. Dennoch bietet dieses allein keine absolute Sicherheit. Es verringert aber das Risiko, durch ein gehacktes Zertifikat zu Schaden zu kommen, erheblich.

 

SSL Zertifikate finden

Jetzt das perfekte SSL Zertifikat sichern

Zum SSL Zertifikat Vergleich

 

Bildnachweis: Gerd Altmann auf Pixabay



    Tags zu diesem Artikel

  • SSL

Weitere Webhoster


Weitere interessante Artikel

Braucht man für jede Domain ein eigenes SSL-Zertifikat?

Welche Möglichkeiten gibt es, um eine Domain per SSL abzusichern? Benötigt jede Domain ein eigenes Zertifikat?

Was ist ein Wildcard SSL Zertifikat?

Wir erklären was ein SSL Wildcard Zertifikat ist und wie man es beantragen kann.

Webhoster im Fokus Anzeige
Aktuelle Ausschreibungen
eMail Consolidation and Extension
noch 8 Tage und 15 Stunden
PHP-Diskussionsforum
Vor kurzem Beendet
Social Network Hosting
Vor kurzem Beendet
Neueste Bewertungen
Muhammad I. hat netcup GmbH bewertet
Raphael hat webgo bewertet
Michael O. hat dogado GmbH bewertet
Jon K. hat netcup GmbH bewertet
Julian hat da-webart.eu bewertet
Burkhard hat webgo bewertet
Nicole A. hat STRATO AG bewertet
Martin hat dogado GmbH bewertet
Thomas hat webgo bewertet
Fabio hat Alfahosting GmbH bewertet
Oliver B. hat ESTUGO Webhosting bewertet
Phillip hat webgo bewertet
Jürgen H. hat Alfahosting GmbH bewertet
Ralf hat LA Webhosting bewertet
Peter T. hat netcup GmbH bewertet
Hasan B. hat netcup GmbH bewertet
marco F. hat united-domains AG bewertet
Eva K. hat united-domains AG bewertet
Sven D. H. hat united-domains AG bewertet
Marcus S. hat netcup GmbH bewertet

Wir konnten bereits Hunderttausenden Webmastern helfen den passenden Hosting-Anbieter zu finden.
Über Hosttest.de

Im Jahr 2006 riefen wir hosttest ins Leben, um den Webhosting Markt im DACH-Raum transparenter zu machen. Mit derzeit über 400 Webhostern und über 10.000 Angeboten bieten wir dir die beste Grundlage, den für dich passenden Anbieter für Hosting-Leistungen zu finden.

Seit 2015 küren wir zudem alljährlich unsere Webhoster des Jahres und würden uns in Zukunft auch über deine Stimme freuen.
Mehr über uns...