Online Certificate Status Protocol

aus Wikipedia, der freien Enzyklopädie

Du hast neue Nachrichten auf deiner Diskussionsseite.

Das Online Certificate Status Protocol (OCSP) ist ein Internet-Protokoll, das es Clients ermöglicht, den Status von X.509-Zertifikaten abzufragen. Benötigt wird dies bei der Prüfung digitaler Signaturen oder im Rahmen der Systemadministration, da Zertifikate, mit denen sich Kommunikationspartner gegenseitig identifizieren, bereits vor Ende ihres Gültigkeitszeitraums gesperrt werden können. Wird im Rahmen einer sicherheitskritischen Anwendung ein Zertifikat verwendet, so muss sichergestellt werden, dass dieses zum Zeitpunkt der Erstellung der Signatur nicht gesperrt war. Mittels OCSP kann der Status eines Zertifikats durch Anfrage bei einem Auskunftsdienst (sog. OSCP-Responder) abgefragt werden. Dieser OCSP-Responder wird in der Regel vom Herausgeber des Zertifikats betrieben und liefert als Antwort "good" (Zertifikat gültig), "revoked" (Zertifikat gesperrt) oder "unknown" (Zertifikat unbekannt), sowie gegebenenfalls den Zeitpunkt der Sperrung.

OCSP besitzt kein eigenes Transport-Protokoll, zum Transport wird in der Regel http oder https verwendet. Der Client schickt dem Server eine Menge von Zertifikats-IDs und der Server antwortet daraufhin mit dem aktuellen Status dieser Zertifikate.

OCSP wird bisher nur von manchen Programmen und z.B. kaum von Browsern unterstützt. Häufiger werden Zertifikatsperrlisten (CRLs) zur Prüfung des Zertifikatsstatus unterstützt.

Um der Forderung des Signaturgesetzes nach einem aktuellen Auskunftsdienst zu genügen, betreiben alle Aussteller von qualifizierten Zertifikaten in Deutschland einen OCSP-Responder.

[Bearbeiten] Vorteile von OCSP

Im Gegensatz zu Sperrlisten, die nur in bestimmten Intervallen erstellt werden und damit nicht immer aktuell sind, können OCSP-Responder sekundengenaue Sperrinformationen liefern, sofern sie eine aktuelle Datenbasis verwenden (z.B. die CA-Datenbank).

Außerdem ermöglicht es OCSP im Gegensatz zu Sperrlisten, nicht gesperrte Zertifikate von gefälschten Zertifikaten zu unterscheiden - nur bei tatsächlich gültigen Zertifikaten liefert der OCSP-Responder die Antwort "good" (Positivantwort). Dies wird vor allem dann wichtig, wenn die von der Zertifizierungsstelle (CA) zur Signierung der Zertifikate eingesetzten Algorithmen und Schlüssellängen im Laufe der Zeit unsicher und Fälschungen möglich werden.

[Bearbeiten] Nachteile von OCSP

Jede Antwort vom OCSP-Server muss digital signiert werden, außerdem obliegt es immer noch dem Client, die Zertifikatskette aufzubauen und zu validieren. Um diese Aufgabe an den Auskunftsdienst auszulagern, wurde das Server-based Certificate Validation Protocol (SCVP) entwickelt.

Weiterhin hängt die Aktualität von OCSP-Antworten von der verwendeten Datenbasis ab. Bei manchen Implementierungen basiert der OCSP-Responder auf einer Sperrliste und liefert daher keine aktuelleren Sperrinformationen als diese.

Schließlich gibt ein OCSP-Responder nur den gegenwärtigen Sperrstatus des Zertifikates an. Für die Gültigkeit einer elektronischen Signatur ist aber nicht der Status des Zertifikates zum Zeitpunkt der Prüfung (und der OCSP-Abfrage) relevant, sondern der Status zum (vergangenen) Zeitpunkt der Signierung. Zwar enthält eine OCSP-Antwort bei einem gesperrten Zertifikat auch den Sperrzeitpunkt, so dass sich daraus ermitteln lässt, ob dieses Zertifikat zu einem bestimmten Zeitpunkt noch gültig war. Falls jedoch die Zertifizierungsstelle vorübergehende Sperrungen (Suspendierungen) zulässt, kann man einer positiven OCSP-Antwort nicht entnehmen, ob dieses Zertifikat zwischenzeitlich suspendiert war. Allerdings wird dies gemeinhin nicht als schwerer Nachteil von OCSP gewertet, da die Suspendierung von Signaturzertifikaten als schlechte (da fehleranfällige) Praxis gilt - für qualifizierte Zertifikate ist sie z.B. nach dem deutschen Signaturgesetz unzulässig. Im Unterschied zu OCSP unterstützt SCVP die Abfrage des Zertifikatsstatus zu einem vergangenen Zeitpunkt.