OCSP

Definitionen und Erklärungen zu OCSP

Das OCSP (Online Certificate Status Protocol) ist ein Internetprotokoll zur Überprüfung der Gültigkeit von digitalen SSL-/TLS-Zertifikaten. Es dient dazu, in Echtzeit festzustellen, ob ein Zertifikat gültig, abgelaufen oder vom Herausgeber (Zertifizierungsstelle, CA) widerrufen wurde. OCSP ist ein wichtiger Bestandteil moderner Websicherheit und trägt zur Vertrauenswürdigkeit von HTTPS-gesicherten Webseiten bei.

Warum wird OCSP benötigt?

Digitale Zertifikate können widerrufen werden – etwa bei Diebstahl des privaten Schlüssels oder bei fehlerhafter Ausstellung. Um Benutzer vor manipulierten oder kompromittierten Zertifikaten zu schützen, muss überprüft werden können, ob ein SSL-Zertifikat noch gültig ist. OCSP ermöglicht genau diese Prüfung in Echtzeit – direkt während des Aufbaus einer HTTPS-Verbindung.

So funktioniert OCSP

Beim Aufruf einer HTTPS-Seite sendet der Browser (Client) eine Anfrage an den OCSP-Server der Zertifizierungsstelle. Diese Anfrage enthält die Seriennummer des Zertifikats. Der OCSP-Server antwortet mit dem Status des Zertifikats:

good – Das Zertifikat ist gültig
revoked – Das Zertifikat wurde widerrufen
unknown – Der Server kennt das Zertifikat nicht

OCSP vs. CRL (Certificate Revocation List)

Merkmal	OCSP	CRL
Prüfung	Einzeln, in Echtzeit	Liste mit vielen Zertifikaten
Größe der Antwort	Klein und gezielt	Groß, bei vielen Widerrufen
Aktualität	Nahezu in Echtzeit	Abhängig vom Intervall des CRL-Updates

Was ist OCSP-Stapling?

OCSP-Stapling ist eine Erweiterung des OCSP-Protokolls, die die Privatsphäre und Ladegeschwindigkeit verbessert. Hierbei sendet nicht der Client die OCSP-Anfrage an die CA, sondern der Webserver holt regelmäßig eine signierte OCSP-Antwort ein und „heftet“ sie (engl. „staple“) an die TLS-Verbindung. Der Browser vertraut dieser Antwort, ohne selbst mit der CA kommunizieren zu müssen.

Vorteile von OCSP-Stapling

Datenschutz: Die CA erfährt nicht mehr, welche Webseiten ein Nutzer aufruft.
Performance: Schnellere Seitenladezeit, da der Browser keine OCSP-Anfrage mehr stellen muss.
Zuverlässigkeit: Keine Probleme bei Verbindungsfehlern zum OCSP-Server.

Wie aktivierst du OCSP-Stapling?

OCSP-Stapling kann serverseitig aktiviert werden, z. B. über folgende Konfiguration in Apache:

SSLUseStapling on
SSLStaplingCache shmcb:/var/run/ocsp(128000)

Empfehlung für Webhosting und Domains

Betreiber von Webseiten sollten darauf achten, dass:

SSL-Zertifikate von einer vertrauenswürdigen CA stammen
OCSP-Stapling auf dem Server aktiviert ist
Veraltete Browser und Clients OCSP korrekt unterstützen

Fazit

OCSP ist ein zentraler Bestandteil der Sicherheitsinfrastruktur moderner SSL-/TLS-Verbindungen. Es ermöglicht eine aktuelle Überprüfung der Gültigkeit von Zertifikaten in Echtzeit. Mit OCSP-Stapling lässt sich die Effizienz und Privatsphäre zusätzlich verbessern. Für Betreiber von Domains und Webservern ist die korrekte Umsetzung ein wichtiger Schritt für maximale Sicherheit und Vertrauen im Web.

Alle Angaben ohne Gewähr.