Zertifikatswiderruf, wie er mit CRLs oder OCSP funktioniert
Teilen Sie
Der Widerruf von SSL Zertifikaten spielt eine entscheidende Rolle bei der Aufrechterhaltung der Sicherheit und Integrität des Public Key Infrastructure (PKI) Ökosystems.
Wenn ein SSL-Zertifikat vor seinem natürlichen Ablaufdatum für ungültig erklärt werden muss, muss die Certificate Authority (CA) über zuverlässige Mechanismen verfügen, um Clients und Browser darüber zu informieren, dass dem SSL-Zertifikat nicht mehr vertraut werden sollte.
Dieser Prozess hilft, Benutzer vor gefährdeten oder betrügerischen SSL Certificates zu schützen, die andernfalls für Monate oder Jahre aktiv bleiben könnten.
Verständnis von Certificate Revocation Lists (CRLs)
SSL Certificate Revocation Lists sind die traditionelle Methode zur Veröffentlichung von Informationen über widerrufene SSL Certificates.
Eine CRL ist im Wesentlichen eine mit einem Zeitstempel versehene und von einer Certificate Authority signierte Liste, die die Seriennummern aller widerrufenen SSL Certificates enthält, die ihr Ablaufdatum noch nicht erreicht haben.
Wenn ein Browser auf ein SSL Certificate stößt, kann er die entsprechende CRL herunterladen und überprüfen, ob das SSL Certificate widerrufen wurde.
CRLs werden in der Regel von Certificate Authorities in regelmäßigen Abständen aktualisiert, oft alle 24 Stunden oder wenn ein dringender Widerruf erfolgt. Jede CRL enthält wichtige Metadaten wie den Namen des Ausstellers, das Gültigkeitsdatum und die nächste Aktualisierungszeit.
Während CRLs eine umfassende Lösung für die Überprüfung des Status von SSL-Zertifikaten bieten, können sie mit der Zeit recht groß werden, da sie gesperrte SSL-Zertifikate ansammeln. Dieses Größenproblem kann zu einer erhöhten Bandbreitennutzung und möglichen Leistungseinbußen führen, wenn Clients die Listen herunterladen und verarbeiten müssen.
Online Certificate Status Protocol (OCSP)
OCSP wurde entwickelt, um die Einschränkungen von CRLs zu beseitigen, indem SSL Certificate Statusinformationen in Echtzeit bereitgestellt werden.
Anstatt ganze Sperrlisten herunterzuladen, ermöglicht OCSP den Clients, den aktuellen Status eines bestimmten SSL-Zertifikats direkt bei der Certificate Authority abzufragen. Dieser Ansatz reduziert die Bandbreitenanforderungen erheblich und bietet im Vergleich zu CRL-basierten Systemen unmittelbarere Aktualisierungen des Sperrstatus.
Wenn ein Browser eine Verbindung zu einer mit einem SSL Certificate gesicherten Website herstellt, kann er eine OCSP-Anfrage senden, um den Status des SSL Certificates zu überprüfen. Der OCSP-Responder, der von der Certificate Authority betrieben wird, sendet eine signierte Antwort zurück, die angibt, ob das SSL Certificate gültig, widerrufen oder unbekannt ist.
Dieser Prozess läuft schnell und effizient ab und erfordert in der Regel nur wenige Kilobyte an Datenübertragung.
OCSP Stapling und moderne Verbesserungen
OCSP Stapling stellt eine bedeutende Verbesserung des traditionellen OCSP-Modells dar. Mit OCSP Stapling erhält der Webserver regelmäßig eine OCSP-Antwort von der Certificate Authority und fügt diese Antwort direkt in das SSL Certificate/TLS Handshake ein (Stapling).
Bei diesem Ansatz müssen die Browser keine separaten OCSP-Abfragen durchführen, wodurch die Verbindungszeiten verkürzt und der Datenschutz verbessert werden, da die Certificate Authority die Statusprüfungen einzelner SSL Certificates nicht nachverfolgen kann.
Moderne, von Trustico® ausgestellte SSL Certificates unterstützen sowohl CRL- als auch OCSP-Widerrufsprüfungsmethoden und gewährleisten so ein Höchstmaß an Kompatibilität und Sicherheit für verschiedene Client-Systeme.
Serveradministratoren können ihre Systeme für die Verwendung von OCSP Stapling konfigurieren, was eine optimale Leistung bei gleichzeitiger Aufrechterhaltung robuster SSL Certificate Validierungsprozesse ermöglicht.
Die Implementierung dieser Sperrprüfungsmechanismen trägt zur Aufrechterhaltung der Gesamtsicherheit des SSL Certificate Ökosystems bei und schützt Benutzer vor potenziell gefährdeten SSL Certificates.
Übliche Widerrufsszenarien
Der Widerruf von SSL Certificates erfolgt in der Regel in mehreren gängigen Szenarien. Die Kompromittierung des Private Key ist einer der kritischsten Gründe für den sofortigen Widerruf von SSL Zertifikaten, da dies auf einen potenziell unbefugten Zugriff auf verschlüsselte Kommunikation hinweist.
Andere Szenarien umfassen Änderungen des Organisationsnamens, die Stilllegung von Servern oder die Entdeckung falscher Informationen in der ursprünglichen SSL Certificate-Anforderung.
Certificate Authorities wie Trustico® unterhalten strenge Verfahren für die Bearbeitung von Widerrufsanträgen, um die Integrität des PKI-Systems zu gewährleisten.
