Zum Inhalt

Webinar: Melden Sie sich jetzt für unser kommendes Webinar an!

Jetzt registrieren

  1. Blogs
    2. PKI

Einführung in OCSP-Stapling

Geschrieben vonDivyansh Dwivedi 8 Мinuten
Einführung in OCSP-Stapling
Inhaltsverzeichnis

SSL-Zertifikate sind ein wichtiger Bestandteil der sicheren Internetkommunikation, da sie Browsern und Nutzern helfen, die Legitimität der von ihnen besuchten Websites sicherzustellen. Man kann sich diese digitalen Zertifikate als digitale IDs vorstellen, die die Identität und Legitimität einer Website bestätigen.

Immer wenn wir eine Verbindung zu einer Website über ein HTTPS Bei der Verbindung prüft unser Browser die digitale ID (das Zertifikat) anhand einer vertrauenswürdigen Quelle und führt diese Aufgaben im Backend aus. Dieser gesamte Prozess, insbesondere die Überprüfung der Zertifikatssignatur, hilft dem Browser zu erkennen, ob wir uns auf einem echten oder einem gefälschten Server befinden. 

Es gibt jedoch Situationen, in denen eine Signatur nicht vertrauenswürdig ist. In diesen Fällen wird ein Mechanismus namens Widerruf kommt ins Spiel. Durch den Widerruf erkennen Browser, wann ein Zertifikat nicht mehr sicher verwendet werden kann. Dies kann auf eine Serverkompromittierung, einen manuellen menschlichen Fehler oder ein anderes Sicherheitsproblem zurückzuführen sein. 

Widerruf des Zertifikats ist ein Prozess, bei dem ein Zertifizierungsstelle macht ein SSL-Zertifikat ungültig. Sobald ein Zertifikat widerrufen wurde, kann es nicht mehr zum Herstellen einer sicheren Verbindung verwendet werden. Benutzer werden außerdem über die Sperrliste informiert, um potenzielle Sicherheitsrisiken zu vermeiden. 

Aber warum sollte eine Zertifizierungsstelle ein Zertifikat widerrufen? Der häufigste Grund dafür ist, dass der Benutzer/die Entität, die das Zertifikat besitzt, digitales Zertifikat fordert dessen Widerruf an. Ein weiterer Grund kann sein, dass die Zertifizierungsstelle erkennt, dass sie das Zertifikat irrtümlich ausgestellt hat. Beiden Szenarien ist gemeinsam, dass der Widerruf des Zertifikats unerlässlich ist, um Sicherheitslücken zu vermeiden, die leicht ausgenutzt werden könnten.  

Wichtig ist, dass es nicht ausreicht, das Zertifikat einfach zu widerrufen. Dies muss auch dem Endbenutzer mitgeteilt werden. Hier OCSP-Heften ins Spiel kommt. 

Was ist OCSP-Heften?  

Online Certificate Status Protocol (OCSP) Stapling ist ein Internetstandard, der verwendet wird, um den Widerrufsstatus von X.509-ZertifikateBei diesem Prozess wurden regelmäßig Statusanfragen an die Zertifizierungsstelle (CA) gesendet und die Antwort zur Überprüfung an den Browser weitergeleitet. Immer wenn ein Client eine Verbindung zum Server herstellen möchte, wird eine Antwort angezeigt, die den Sperrstatus bestätigt.

Dieser Ansatz stellt sicher, dass der Browser schnell überprüfen kann, ob das Zertifikat gültig oder widerrufen ist, ohne die Zertifizierungsstelle direkt kontaktieren zu müssen. Wenn der Browser den Status „widerrufen“ erhält, warnt er den Benutzer, die Kommunikation vertraulicher Informationen mit dem Server zu unterbinden.

Wie funktioniert OCSP-Stapling?

Im Folgenden sind die Schritte aufgeführt, die für die Funktionsweise von OCSP erforderlich sind:  

  • Zertifikatsausstellung

    Vor der Verbindung stellt die Zertifizierungsstelle ein Zertifikat mit einem OCSP-Unterstützungsindikator aus. Dadurch weiß unser Browser, dass er OCSP für die Sperrprüfung verwenden soll. Dies ist außerdem ein verbindlicher Standard, der alle Zertifizierungsstellen dazu verpflichtet, einen OCSP-Dienst bereitzustellen und Zertifikate auszustellen, die OCSP unterstützen.

  • OCSP-Responder-Updates

    Die CA veröffentlicht den Gültigkeitsstatus des Zertifikats an einen OCSP-Responder. Dieser Server wird von der CA betrieben und verarbeitet alle OCSP-Anfragen. Die CA aktualisiert die OCSP-Informationen für jedes von ihr ausgestellte Zertifikat, einschließlich der widerrufenen, mindestens alle vier Tage.

  • SSL-Handshake

    Die SSL-Handshake zwischen Client und Server erfolgt, wobei zum Herstellen der Verbindung mehrere Schritte erforderlich sind.

  • OCSP-Antwort wird abgerufen

    Der Server holt eine Antwort vom OCSP-Responder ab. Diese Antwort enthält die Gültigkeit des Zertifikats Informationen und kann einen der folgenden drei Status melden: Gut, Widerrufen oder Unbekannt. Der Browser speichert diese Antwort nun bis zu zehn Tage im Cache und ruft danach den Responder erneut zur Antwort auf.

  • Heften der OCSP-Antwort

    Der Server „heftet“ die OCSP-Antwort an das digitale Zertifikat an und sendet beides an den Browser. Dies ist der Hauptunterschied zu Vanilla OCSP, wo der Client dafür verantwortlich ist, die OCSP-Antwort direkt vom OCSP-Responder zu erhalten, was zu Verzögerungen und Sicherheitsproblemen führen kann.

  • Abschließen des Handshakes

    Anschließend wird der SSL-Handshake abgeschlossen und die OCSP-Antwort zeigt je nach Zertifikat den Status „gut“ oder „widerrufen“ an.

  • Sichere Verbindung hergestellt

    Wenn alles in Ordnung ist, wird die Verbindung hergestellt und die sichere Kommunikation beginnt.

Enterprise-PKI-Dienste

Erhalten Sie umfassende End-to-End-Beratungsunterstützung für alle Ihre PKI-Anforderungen!

Mehr erfahren

Zertifikatsantworten 

Nachfolgend sind die möglichen Antworten mit OCSP-Stapling aufgeführt:  

  • Widerrufen: Wenn ein digitales Zertifikat widerrufen wird, zeigt der Browser eine Warnung an. Diese Antwort ist ein Hard Stop, da der Browser die Verbindung sofort beendet.
  • Gut: Eine gute Antwort liegt vor, wenn der OCSP-Responder die Seriennummer des Zertifikats erkennt und feststellt, dass es gültig ist. 
  • Unbekannte: Diese Meldung wird angezeigt, wenn der OCSP-Responder das Zertifikat nicht erkennt. Dies ist der Fall, wenn der Responder Zugriff auf die Zertifizierungsstelle benötigt, die das betreffende Zertifikat ausgestellt hat. Dies ist ein Soft-Stopp, da die Verbindung möglicherweise nicht hergestellt werden kann.

Vor- und Nachteile von OCSP-Stapling 

Vorteile von OCSP Stapling

  • Verbesserte Leistung

    Im Gegensatz zur herkömmlichen Methode mit Zertifikatsperrlisten (Certificate Revocation Lists, CRLs) beeinträchtigt OCSP-Stapling die Browser-Leistung nicht. Der Server lädt eine Kopie der OCSP-Antwort vom OCSP-Responder herunter und speichert sie im Cache. Dadurch wird die Latenz für den Benutzer reduziert.

  • Geschwindigkeit und Effizienz

    OCSP-Stapling bietet eine verbesserte Geschwindigkeit und Leistung bei der Überprüfung des Widerrufsstatus eines digitalen Zertifikats. Die Statusüberprüfung und der Aufbau einer sicheren Verbindung nehmen nur minimalen Zeitaufwand in Anspruch.

  • Verbesserte Privatsphäre

    OCSP-Stapling bietet Benutzern einen besseren Datenschutz als herkömmliche OCSP-Responder-Abfragen. Da die CA oder der OCSP-Responder die vom Client besuchten Websites nicht sehen können, ist die Privatsphäre des Benutzers besser geschützt.

  • Ressourcenoptimierung

    OCSP-Stapling verbraucht im Vergleich zu CRL oder herkömmlichem OCSP weniger Netzwerkressourcen und ist daher eine effizientere Lösung.

Nachteile von OCSP-Stapling

  • Abhängigkeit vom OCSP-Responder

    Wenn der OCSP-Responder aus irgendeinem Grund ausfällt, können Webserver nicht die neueste OCSP-Antwort generieren. Dies führt zu einem Single Point of Failure und kann dazu führen, dass Browser nicht über den Widerruf informiert werden.

  • Einschränkungen bei der Zertifikatsüberprüfung

    OCSP-Stapling bietet normalerweise keine Überprüfung für Zwischenzertifikate in einer Zertifikatskette. Neuere Versionen wie Multi-Stapling und TLS 1.3-Unterstützung beheben diese Einschränkung jedoch.

  • Regelmäßige Updates

    Zwischen den OCSP-Stapling-Antworten entsteht eine Zeitlücke, sodass die Server in diesem Zeitraum keine neuen Sperrungen erkennen. Wird ein Zertifikat in diesem Zeitraum gesperrt, werden möglicherweise veraltete Antworten bereitgestellt. 

  • Datenschutzerklärung

    Durch den Überprüfungsprozess können Informationen über die Inhalte, auf die ein Benutzer zugreift, preisgegeben werden. Diese Informationen können zur Nachverfolgung des Benutzerverhaltens verwendet werden und Datenschutzprobleme verursachen.

So prüfen Sie, ob OCSP-Stapling vorhanden ist

Stellen Sie sicher, dass Sie Windows Server 2008 oder höher verwenden. 

  • Windows-Server ab 2008 unterstützen standardmäßig OCSP-Stapling, während Versionen unter 2008 OCSP-Stapling nicht unterstützen.
  • Wenn Sie eine Windows-Version unter 2008 verwenden, aktualisieren Sie bitte auf 2008 oder höher, um OCSP-Stapling zu aktivieren.

Schritt 1: Gehe zu SSL Labs von Qaulys. 

Schritt 2: Aktivieren Sie das Kontrollkästchen „Ergebnisse nicht auf den Tafeln anzeigen“. 

Schritt 3: Geben Sie den Domänennamen ein, den Sie überprüfen möchten, und klicken Sie auf „Senden“. 

Schritt 4:: Nachdem der Scan abgeschlossen ist. Überprüfen Sie die „Widerrufsinformationen“. Dieser Abschnitt enthält CRL- und OCSP-Details. 

Schritt 5:: In der Zeile „OCSP-Heften“: 

  • Wenn „Ja“ angezeigt wird, ist OCSP-Stapling aktiviert. 
  • Wenn „Nein“ angezeigt wird, ist OCSP-Stapling deaktiviert. 

Dies hilft Ihnen, den Status des OCSP-Staplings auf Ihrer Website zu überprüfen. Wenn Sie die Meldung „Nicht unterstützt“ sehen, überprüfen Sie dies Microsoft-Dokumentation für Fehlerbehebung.

Fazit 

Zusammenfassend lässt sich sagen, dass der Widerruf von Zertifikaten ein wesentlicher Bestandteil der sicheren Internetkommunikation ist. Bisher war die Behebung von Widerrufen eine echte Herausforderung. Da Cyberbedrohungen mit der wachsenden Anzahl von Geräten zunehmen, finden Hacker neue Techniken, um digitale Zertifikate zu kompromittieren.

Daher ist die Echtzeitvalidierung durch OCSP wichtiger denn je. Durch die Einbindung einer digital signierten Antwort in den ersten Handshake vermeidet der Server, dass Clients den OCSP-Responder der CA abfragen müssen. Dies reduziert Latenz und potenzielle Datenschutzbedenken und trägt so zur Echtzeitvalidierung bei. 

Obwohl keine Widerrufsmethode perfekt ist, entwickelt sich OCSP Stapling kontinuierlich weiter. Neue Standards wie „Must-Stapling“ und „Multi-Stapling“ verbessern die Sicherheitsstandards von OCSP. OCSP Stapling hat diesen Prozess deutlich verbessert, indem es die Widerrufsmeldung schnell, effizient und kostengünstig macht. Dank der branchenweiten Unterstützung von OCSP profitieren alle digitalen Zertifikate davon.

Wie kann Encryption Consulting helfen?

Encryption Consulting bietet spezialisierte PKIaaS-Lösung mit erhöhter Skalierbarkeit und konsistenten Supportfunktionen. Es handelt sich um eine risikoarme, verwaltete Lösung, die Ihnen die vollständige Kontrolle über Ihre PKI gibt, ohne sich um die Komplexität des Systems kümmern zu müssen. Unsere Dienstleistungen umfassen Konfigurationsunterstützung, PKI-Überwachung und Cloud-basierter PKI-Dienst Das System verwaltet den gesamten Lebenszyklus von Zertifikaten und sorgt für Sicherheit, Compliance und betriebliche Effizienz. Dank unserer umfassenden Branchenerfahrung gewährleisten wir die erfolgreiche und sichere Implementierung von OCSP-Stapling in Ihrem Unternehmen, zugeschnitten auf Ihre spezifischen Bedürfnisse. Durch die Zusammenarbeit mit Verschlüsselungsberatungkönnen Unternehmen das volle Potenzial ausschöpfen und greifbare finanzielle Vorteile erzielen, während sie gleichzeitig robuste Sicherheitsmaßnahmen aufrechterhalten. 

Entdecken Sie unsere

Verwandte Blogs

PKI-Steuerung

Aufrechterhaltung der PKI-Kontrolle in einer Cloud-First-Welt

4. März 2026
NDES und SCEP

NDES und SCEP erklärt: Das Rückgrat der automatisierten Zertifikatsregistrierung

2. März 2026
Die Root-Programmrichtlinie von Chrome v1.6 und ihre Auswirkungen im Jahr 2026 verstehen

Die Root-Programmrichtlinie von Chrome v1.6 und ihre Auswirkungen im Jahr 2026 verstehen 

5. Februar 2026

Entdecken

Weitere Themen