Zum Inhalt springen
0
0228 / 96 96 77-0
Kontakt

CRL

CRL in einfacher Sprache
Zuletzt aktualisiert: 07.04.2026Autor: Redaktion DomainProvider.de · Lesezeit: 4 Min.

Eine CRL (Certificate Revocation List, deutsch: Zertifikatsperrliste) ist eine von einer Zertifizierungsstelle (CA) veröffentlichte Liste aller SSL-Zertifikate, die vor ihrem regulären Ablaufdatum widerrufen wurden. Browser und andere Anwendungen prüfen anhand dieser Liste, ob ein Zertifikat noch gültig oder bereits gesperrt ist. Die CRL ist damit ein zentraler Baustein der Zertifikatssicherheit im Web.

Warum werden SSL-Zertifikate gesperrt?

Ein SSL-Zertifikat wird gesperrt, wenn es nicht mehr vertrauenswürdig ist. Typische Gründe:

  • Kompromittierter privater Schlüssel: Wurde der private Schlüssel gestohlen oder versehentlich veröffentlicht, muss das Zertifikat sofort gesperrt werden.
  • Fehlerhafte Ausstellung: Die CA hat das Zertifikat irrtümlich oder unter falschen Angaben ausgestellt.
  • Domainwechsel: Das Zertifikat wird nicht mehr benötigt, weil die Domain den Besitzer gewechselt hat.
  • Ablösung: Ein neues Zertifikat ersetzt das alte, und das alte soll nicht mehr akzeptiert werden.
  • Compliance-Verstöße: Die CA oder der Zertifikatsinhaber hat gegen die Baseline Requirements des CA/Browser-Forums verstoßen.

Wie funktioniert eine CRL?

Die Zertifizierungsstelle veröffentlicht die CRL als signierte Datei an einer URL, die im Zertifikat selbst hinterlegt ist (CRL Distribution Point).

  1. CA pflegt die Liste: Bei jeder Sperrung fügt die CA die Seriennummer des Zertifikats zur CRL hinzu und signiert die aktualisierte Liste.
  2. Browser lädt die CRL: Beim Verbindungsaufbau prüft der Browser, ob das Zertifikat auf der CRL steht.
  3. Abgleich: Findet der Browser die Seriennummer auf der Liste, wird das Zertifikat als gesperrt behandelt und die Verbindung abgelehnt oder als unsicher markiert.

Wie unterscheiden sich CRL und OCSP?

CRL und OCSP (Online Certificate Status Protocol) lösen dasselbe Problem — die Prüfung, ob ein Zertifikat gesperrt ist — auf unterschiedliche Weise.

Merkmal CRL OCSP
Prinzip Komplette Liste aller gesperrten Zertifikate Einzelabfrage pro Zertifikat
Datenvolumen Kann mehrere MB groß werden Kleine Antwort pro Abfrage
Aktualität Wird periodisch aktualisiert (Stunden bis Tage) Antwort in Echtzeit
Datenschutz Kein Datenschutzproblem (lokale Prüfung) CA erfährt, welche Websites der Nutzer besucht
Verfügbarkeit Einmal heruntergeladen, offline nutzbar Erfordert Online-Verbindung zur CA

Warum lösen CRL-basierte Verfahren OCSP ab?

OCSP galt lange als moderner Nachfolger der CRL — doch die Entwicklung hat sich umgekehrt. Große Browser setzen zunehmend auf CRL-basierte Ansätze und wenden sich von OCSP ab.

  • Datenschutz: Bei OCSP sendet der Browser die Seriennummer des Zertifikats an die CA. Die CA erfährt dadurch, welche Websites der Nutzer besucht. CRL-basierte Prüfung erfolgt lokal — ohne Kontakt zur CA.
  • Verfügbarkeit: Fällt der OCSP-Server aus, müssen Browser entscheiden: Verbindung blockieren (schlecht für Nutzer) oder Prüfung überspringen (schlecht für Sicherheit). Mit CRLs gibt es dieses Problem nicht.
  • Performance: Eine OCSP-Abfrage verzögert den Verbindungsaufbau. CRL-Daten werden im Hintergrund aktualisiert.
  • OCSP Stapling: War als Kompromiss gedacht — der Server liefert die OCSP-Antwort gleich mit. In der Praxis setzen aber viele Server Stapling nicht korrekt um.

Chrome nutzt seit Jahren keine OCSP-Abfragen mehr, sondern eigene CRLSets — komprimierte Sperrlisten, die mit dem Browser-Update verteilt werden. Mozilla entwickelt mit CRLite ein ähnliches System, das alle gesperrten Zertifikate in einer kompakten Datenstruktur (Bloom-Filter) speichert. Apple hat 2024 angekündigt, OCSP in Safari nicht mehr zu unterstützen.

Was bedeutet das für Website-Betreiber?

Für Website-Betreiber ändert sich an der täglichen Arbeit wenig — die Sperrprüfung läuft im Hintergrund. Trotzdem gibt es praktische Konsequenzen:

  • Kompromittierte Zertifikate sofort sperren: Je schneller ein gesperrtes Zertifikat in der CRL erscheint, desto geringer das Risiko. Die meisten Zertifizierungsstellen verarbeiten Sperrungen innerhalb von 24 Stunden.
  • SSL-Zertifikat regelmäßig prüfen: Ein SSL-Check zeigt, ob ein Zertifikat gültig, korrekt konfiguriert und nicht gesperrt ist.
  • Automatische Erneuerung nutzen: Mit ACME und Short-Lived Certificates wird das Sperren seltener nötig — ein abgelaufenes Zertifikat muss nicht gesperrt werden.
  • OCSP Stapling konfigurieren: Auch wenn Browser OCSP weniger nutzen, verbessert Stapling die Kompatibilität mit älteren Clients.

Fazit

Eine CRL (Certificate Revocation List) listet alle gesperrten SSL-Zertifikate einer Zertifizierungsstelle. Ursprünglich durch OCSP ergänzt, kehren Browser heute zu CRL-basierten Verfahren zurück: CRLSets in Chrome, CRLite in Firefox. Der Grund: bessere Performance, mehr Datenschutz und keine Abhängigkeit von externen OCSP-Servern. Für Website-Betreiber bleibt der Grundsatz: SSL-Zertifikat aktuell halten, bei Kompromittierung sofort sperren und die Konfiguration per SSL-Check regelmäßig prüfen.

Haftungsausschluss (Details anzeigen)(Details ausblenden)

Die bereitgestellten Informationen dienen ausschließlich der allgemeinen Orientierung. Für Richtigkeit, Vollständigkeit und Aktualität wird keine Gewähr übernommen. Die Inhalte sind nicht rechtsverbindlich und nicht Bestandteil einer Leistungsbeschreibung.

Preise inkl. MwSt. Angebote sind zeitlich begrenzt verfügbar und teilweise an Mindestvertragslaufzeiten gebunden.