Webhosting Beginner? Jetzt alles über Webhosting erfahren. Zum Webhosting-Guide

Was ist OCSP?

Autor: HOSTTEST-Redaktion   |10.05.2022

Was ist OCSP?Ein bekanntes Sprichwort besagt: Vertrauen ist gut, Kontrolle ist besser. Dies trifft insbesondere auf den Bereich der Datensicherheit und der Privatsphäre im Internet zu. Auch wenn die Verschlüsselung der Kommunikation durch ein SSL-Zertifikat inzwischen zum Standard gehört, bietet dies noch keine absolute Sicherheit. Denn wenn das Zertifikat seine Gültigkeit verloren hat, ist auch der Datenverkehr nicht mehr geschützt. Das Netzwerkprotokoll OCSP bietet eine Möglichkeit, den Status eines Zertifikats zu validieren.

Was ist OCSP?

Das Online Certificate Status Protocol (OCSP) ist ein Netzwerkprotokoll, welches es ermöglicht, den Status eines SSL-Zertifikats zu ermitteln. Hierfür wird eine Anfrage an einen OCSP-Responder gesendet. Dabei handelt es sich um einen Server, der oft auch vom Herausgeber des Zertifikats betrieben wird.

Der Responder kann die Anfrage mit folgenden Status beantworten:

  • good: Das Zertifikat ist nicht gesperrt.
  • revoked: Das Zertifikat ist ungültig bzw. gesperrt.
  • unknown: Der Status des Zertifikats ist nicht bekannt. Dies könnte der Fall sein, wenn der Herausgeber dem Responder unbekannt ist.

Was heißt es nun, wenn Zertifikate gesperrt sind?

 

SSL Zertifikate finden

Jetzt das perfekte SSL Zertifikat sichern

Zum SSL Zertifikat Vergleich

 

Warum werden Zertifikate gesperrt?

Sind Websites über SSL verschlüsselt, sind die jeweiligen Zertifikate über einen öffentlichen und einen privaten Schlüssel gesichert. Über die Zertifizierungsanforderung (CSR) sind auch einige Stammdaten hinterlegt, die den Besitzer des Zertifikats betreffen. Wenn ein Browser eine verschlüsselte Website aufruft, sendet er eine Anfrage an die Zertifizierungsstelle. Diese bestätigt die Gültigkeit des Zertifikats mit dem öffentlichen Schlüssel.

Die Validierung von SSL-Zertifikaten findet ganz automatisch durch den Browser statt. Dennoch besteht die Möglichkeit, dass Hacker sich des Zertifikats bemächtigt haben und die Antworten umleiten.

Sollte dies der Fall sein, ist der Herausgeber - eine der zahlreichen Zertifizierungstellen - verpflichtet, das Zertifikat sofort zu sperren. Der Client, der die Website aufruft, kann das aber nicht überprüfen, sofern die Antwort, die er von der Zertifizierungsstelle erwartet, manipuliert wurde. So kann die Browser-Anfrage auf einen externen Server umgeleitet werden, sodass dieser als die zuständige Zertifizierungsstelle im System erscheint. In einem solchen Fall wäre der Datenverkehr nicht mehr sicher und könnte von Dritten mitgelesen werden.

 

Das Netzwerkprotokoll OCSP in der Anwendung

Zertifizierungsstellen bieten meist auch einen Validierungsdienst an. Nach der Sperrung eines Zertifikats wird der veränderte Status auf dem OCSP-Responder hinterlegt.

Möchte ein Anwender den Status eines Zertifikats überprüfen, stellt er eine Anfrage über das Netzwerkprotokoll an den OCSP-Responder. Anhand der erhaltenen Antwort kann der Anwender den Status und damit die Vertrauenswürdigkeit des entsprechenden Zertifikats beurteilen.

 

Das Netzwerkprotokoll OCSP und seine Grenzen

Zwar kann mit OCSP der Staus von verschiedenen SSL-Zertifikaten ermittelt werden. Das Netzwerkprotokoll kann jedoch keinen umfassenden Aufschluss über deren Gültigkeit geben. Hierfür spielen weitere Faktoren eine Rolle, die separat geprüft werden müssen.

Es handelt sich dabei um Folgende:

  • Gültigkeitszeitraum: SSL-Zertifikate haben nur eine begrenzte Gültigkeit. Ist der Zeitraum überschritten, ist die Website nicht mehr sicher.
  • Zertifizierungspfad: Über den Zertifizierungspfad lässt sich die Hierarchie der beteiligten Zertifizierungsinstanzen feststellen. Hier sollten nur vertrauenswürdige Parteien zu finden sein.

Zur Überprüfung eines SSL-Zertifikats ist das Netzwerkprotokoll OCSP ein effektives Hilfsmittel. Dennoch bietet dieses allein keine absolute Sicherheit. Es verringert aber das Risiko, durch ein gehacktes Zertifikat zu Schaden zu kommen, erheblich.

 

SSL Zertifikate finden

Jetzt das perfekte SSL Zertifikat sichern

Zum SSL Zertifikat Vergleich

 

Bildnachweis: Gerd Altmann auf Pixabay



    Tags zu diesem Artikel

  • SSL

Weitere Webhoster


Weitere interessante Artikel

Braucht man für jede Domain ein eigenes SSL-Zertifikat?

Welche Möglichkeiten gibt es, um eine Domain per SSL abzusichern? Benötigt jede Domain ein eigenes Zertifikat?

Was ist ein Wildcard SSL Zertifikat?

Wir erklären was ein SSL Wildcard Zertifikat ist und wie man es beantragen kann.

Webhoster im Fokus Anzeige
Aktuelle Ausschreibungen
500gb - Webspeicher
Vor kurzem Beendet
WP Hosting
Vor kurzem Beendet
Familien Exchange Hosting
Vor kurzem Beendet
Domain und Webspace
Vor kurzem Beendet
Neueste Bewertungen
Kerstin R. hat Pixel X e.K. bewertet
Susanne G. hat dogado GmbH bewertet
Alexander B. hat LANSOL GmbH bewertet
Frank K. hat da-webart.eu bewertet
Uwe hat dogado GmbH bewertet
Nadine hat webgo bewertet
Christian hat webgo bewertet
Frank R. hat Rainbow-Web.com bewertet
Torsten F. hat STRATO AG bewertet
das.kerlchen hat lima-city bewertet
Philipp hat Webspace-Verkauf.de bewertet
Georg G. hat dogado GmbH bewertet
Brigitte Z. hat manitu bewertet
Siegfried hat dogado GmbH bewertet
Melissa S. hat ServMedia.de bewertet
Thomas T. hat loswebos.de GmbH bewertet
Othmar B. hat Domain-Offensive bewertet
Andreas J. hat dogado GmbH bewertet
tati hat netcup GmbH bewertet

Wir konnten bereits Hunderttausenden Webmastern helfen den passenden Hosting-Anbieter zu finden.
Über Hosttest.de

Im Jahr 2006 riefen wir hosttest ins Leben, um den Webhosting Markt im DACH-Raum transparenter zu machen. Mit derzeit über 400 Webhostern und über 10.000 Angeboten bieten wir dir die beste Grundlage, den für dich passenden Anbieter für Hosting-Leistungen zu finden.

Seit 2015 küren wir zudem alljährlich unsere Webhoster des Jahres und würden uns in Zukunft auch über deine Stimme freuen.
Mehr über uns...