Achtung: Phishing-E-Mails im Namen der Gerwan GmbH im Umlauf – bitte keine Links anklicken und keine Daten eingeben. Mehr erfahren
Das OCSP (Online Certificate Status Protocol) ist ein Internetprotokoll zur Überprüfung der Gültigkeit von digitalen SSL-/TLS-Zertifikaten. Es dient dazu, in Echtzeit festzustellen, ob ein Zertifikat gültig, abgelaufen oder vom Herausgeber (Zertifizierungsstelle, CA) widerrufen wurde. OCSP ist ein wichtiger Bestandteil moderner Websicherheit und trägt zur Vertrauenswürdigkeit von HTTPS-gesicherten Webseiten bei.
Digitale Zertifikate können widerrufen werden – etwa bei Diebstahl des privaten Schlüssels oder bei fehlerhafter Ausstellung. Um Benutzer vor manipulierten oder kompromittierten Zertifikaten zu schützen, muss überprüft werden können, ob ein SSL-Zertifikat noch gültig ist. OCSP ermöglicht genau diese Prüfung in Echtzeit – direkt während des Aufbaus einer HTTPS-Verbindung.
Beim Aufruf einer HTTPS-Seite sendet der Browser (Client) eine Anfrage an den OCSP-Server der Zertifizierungsstelle. Diese Anfrage enthält die Seriennummer des Zertifikats. Der OCSP-Server antwortet mit dem Status des Zertifikats:
| Merkmal | OCSP | CRL |
|---|---|---|
| Prüfung | Einzeln, in Echtzeit | Liste mit vielen Zertifikaten |
| Größe der Antwort | Klein und gezielt | Groß, bei vielen Widerrufen |
| Aktualität | Nahezu in Echtzeit | Abhängig vom Intervall des CRL-Updates |
OCSP-Stapling ist eine Erweiterung des OCSP-Protokolls, die die Privatsphäre und Ladegeschwindigkeit verbessert. Hierbei sendet nicht der Client die OCSP-Anfrage an die CA, sondern der Webserver holt regelmäßig eine signierte OCSP-Antwort ein und „heftet“ sie (engl. „staple“) an die TLS-Verbindung. Der Browser vertraut dieser Antwort, ohne selbst mit der CA kommunizieren zu müssen.
OCSP-Stapling kann serverseitig aktiviert werden, z. B. über folgende Konfiguration in Apache:
SSLUseStapling on
SSLStaplingCache shmcb:/var/run/ocsp(128000)Betreiber von Webseiten sollten darauf achten, dass:
OCSP ist ein zentraler Bestandteil der Sicherheitsinfrastruktur moderner SSL-/TLS-Verbindungen. Es ermöglicht eine aktuelle Überprüfung der Gültigkeit von Zertifikaten in Echtzeit. Mit OCSP-Stapling lässt sich die Effizienz und Privatsphäre zusätzlich verbessern. Für Betreiber von Domains und Webservern ist die korrekte Umsetzung ein wichtiger Schritt für maximale Sicherheit und Vertrauen im Web.
Haftungsausschluss: Die bereitgestellten Informationen dienen ausschließlich der allgemeinen Orientierung. Für Richtigkeit, Vollständigkeit und Aktualität wird keine Gewähr übernommen. Die Inhalte sind nicht rechtsverbindlich und nicht Bestandteil einer Leistungsbeschreibung.