Zum Inhalt springen
0
0228 / 96 96 77-0
Kontakt

OCSP

OCSP in einfacher Sprache
Zuletzt aktualisiert: 07.04.2026Autor: Redaktion DomainProvider.de · Lesezeit: 4 Min.

OCSP (Online Certificate Status Protocol) ist ein Internetprotokoll zur Echtzeitprüfung, ob ein SSL-Zertifikat noch gültig oder von der Zertifizierungsstelle (CA) widerrufen wurde. Der Browser sendet dazu eine Anfrage an den OCSP-Server der CA und erhält den aktuellen Status des Zertifikats zurück. OCSP wurde als schlankere Alternative zur CRL (Certificate Revocation List) entwickelt — wird aber selbst zunehmend durch modernere CRL-basierte Verfahren ersetzt.

Wie funktioniert OCSP?

OCSP prüft den Status eines einzelnen Zertifikats per Anfrage an den OCSP-Responder der Zertifizierungsstelle.

  1. Browser sendet Anfrage: Beim Aufbau einer HTTPS-Verbindung sendet der Browser die Seriennummer des SSL-Zertifikats an den OCSP-Server der CA.
  2. CA prüft und antwortet: Der OCSP-Responder prüft die Seriennummer gegen seine Datenbank und sendet eine signierte Antwort zurück.
  3. Browser wertet aus: Anhand der Antwort entscheidet der Browser, ob die Verbindung aufgebaut oder als unsicher markiert wird.

Die OCSP-Antwort enthält einen von drei Status:

  • good: Das Zertifikat ist gültig und nicht widerrufen.
  • revoked: Das Zertifikat wurde widerrufen — die Verbindung ist nicht vertrauenswürdig.
  • unknown: Der OCSP-Server kennt das Zertifikat nicht.

Was ist OCSP-Stapling?

OCSP-Stapling löst die beiden größten Probleme von OCSP: Datenschutz und Performance. Statt dass der Browser die CA kontaktiert, holt der Webserver die OCSP-Antwort selbst ein und liefert sie bei jeder Verbindung mit.

  • Funktionsweise: Der Webserver fragt periodisch den OCSP-Responder ab und speichert die signierte Antwort zwischen (Cache). Beim TLS-Handshake sendet er die Antwort zusammen mit dem Zertifikat an den Browser.
  • Datenschutz: Die CA erfährt nicht, welche Websites der Nutzer besucht — die Anfrage kommt vom Server, nicht vom Browser.
  • Performance: Der Browser muss keine eigene OCSP-Anfrage stellen. Das spart eine Netzwerk-Roundtrip und beschleunigt den Verbindungsaufbau.

In der Praxis setzen allerdings viele Server OCSP-Stapling nicht oder nicht korrekt um. Das ist einer der Gründe, warum Browser sich von OCSP abwenden.

Welche Probleme hat OCSP?

OCSP hat trotz seiner Echtzeitprüfung grundlegende Schwächen, die zur schrittweisen Ablösung geführt haben.

  • Datenschutz: Bei klassischem OCSP (ohne Stapling) sendet der Browser die Seriennummer des Zertifikats an die CA. Die CA erfährt dadurch, welche Websites der Nutzer besucht — ein erhebliches Datenschutzproblem.
  • Verfügbarkeit: Fällt der OCSP-Server aus, stehen Browser vor einem Dilemma: Verbindung blockieren (schlecht für Nutzer) oder Prüfung überspringen (schlecht für Sicherheit). Mozilla-Daten zeigen, dass über 7 % aller OCSP-Anfragen mit einem Timeout enden.
  • Performance: Jede OCSP-Anfrage verzögert den Verbindungsaufbau um eine Netzwerk-Roundtrip zur CA — spürbar bei langsamen Verbindungen.
  • Soft-Fail: Die meisten Browser überspringen die Prüfung bei OCSP-Fehlern stillschweigend ("Soft-Fail"). Ein Angreifer, der die OCSP-Anfrage blockiert, kann dadurch ein gesperrtes Zertifikat weiter verwenden.

Warum wird OCSP durch CRL-basierte Verfahren ersetzt?

Alle großen Browser bewegen sich weg von OCSP und hin zu CRL-basierten Sperrprüfungen. Die Prüfung erfolgt lokal statt über externe Server.

  • Chrome: Hat OCSP-Abfragen nie standardmäßig durchgeführt. Nutzt seit Jahren CRLSets — komprimierte Sperrlisten, die mit dem Browser-Update verteilt werden.
  • Firefox: Hat mit CRLite ein eigenes System entwickelt. CRLite komprimiert die gesamte Sperrinformation aller öffentlichen Zertifikate in eine kompakte Datenstruktur (Bloom-Filter). 300 Megabyte Sperrdaten werden auf etwa 1 Megabyte reduziert. Das Update erfolgt mehrmals täglich.
  • Safari: Apple hat 2020 nach einem OCSP-Server-Ausfall angekündigt, OCSP nicht mehr zu unterstützen, und nutzt ein eigenes proprietäres System.
  • Let's Encrypt: Die weltweit größte Zertifizierungsstelle hat 2024 angekündigt, ihren OCSP-Dienst einzustellen. Begründung: Datenschutz, Ressourcenaufwand und die Tatsache, dass das CA/Browser-Forum OCSP seit August 2023 für CAs optional gemacht hat.

Was bedeutet die OCSP-Ablösung für Website-Betreiber?

Für die meisten Website-Betreiber ändert sich wenig — die Sperrprüfung läuft im Browser automatisch im Hintergrund.

  • OCSP-Stapling weiterhin konfigurieren: Auch wenn moderne Browser OCSP weniger nutzen, verbessert Stapling die Kompatibilität mit älteren Clients und schadet nicht.
  • SSL-Zertifikat aktuell halten: Regelmäßig per SSL-Check prüfen, ob das Zertifikat gültig und korrekt konfiguriert ist.
  • Automatische Erneuerung nutzen: Mit ACME und Short-Lived Certificates wird die Sperrung seltener nötig. Ein kurzlebiges Zertifikat läuft schneller ab, als ein Angreifer es missbrauchen kann.
  • Bei Kompromittierung sofort sperren: Auch ohne OCSP greifen CRL-basierte Verfahren. Die Sperrung bei der CA bleibt der richtige Weg.

Fazit

OCSP (Online Certificate Status Protocol) ermöglicht die Echtzeitprüfung, ob ein SSL-Zertifikat widerrufen wurde. Trotz Verbesserungen wie OCSP-Stapling haben grundlegende Probleme — Datenschutz, Verfügbarkeit und Soft-Fail — dazu geführt, dass Browser auf CRL-basierte Verfahren umsteigen: CRLSets in Chrome, CRLite in Firefox. Let's Encrypt als größte CA stellt seinen OCSP-Dienst ein. Für Website-Betreiber bleibt das Ziel: SSL-Zertifikat aktuell halten, automatische Erneuerung nutzen und bei Kompromittierung sofort sperren.

Haftungsausschluss (Details anzeigen)(Details ausblenden)

Die bereitgestellten Informationen dienen ausschließlich der allgemeinen Orientierung. Für Richtigkeit, Vollständigkeit und Aktualität wird keine Gewähr übernommen. Die Inhalte sind nicht rechtsverbindlich und nicht Bestandteil einer Leistungsbeschreibung.