OCSP Stapling

Für die sichere Verwendung digitaler Zertifikate ist eine sorgfältige Überprüfung der Gültigkeit der Zertifikate sehr wichtig. Diese Gültigkeitsprüfung kann mit einer Zertifikatsperrliste (Certificate Revocation List, CRL) oder dem Online Certificate Status Protocol (OCSP) durchgeführt werden.

Wie funktioniert OCSP?

OCSP zeigt die aktuell Statusinformationen über die Gültigkeit eines Zertifikats an. Jedes Mal, wenn der Browser eines Besuchers eine sichere HTTPS-Verbindung mit einer Website erstellt, prüft er die Gültigkeit des Zertifikats durch die Zertifizierungsstelle (den Zertifikatsaussteller). Dies ist ein Standard und wesentlicher Bestandteil des Einrichtens der SSL-Verbindung; abhängig von der Antwort der Zertifizierungsstelle kann die Verbindung hergestellt werden oder nicht.

Was ist OCSP stapling?

Bei dieser Methode ist der Webserver der Vermittler zwischen dem Browser und der Zertifizierungsstelle. Der Webserver, auf dem das SSL-Zertifikat installiert ist, stellt dem Browser die zwischengespeicherte OCSP-Antwort bereit. Dies macht eine separate Verbindung des Browser zur Zertifizierungsstelle überflüssig. Die OCSP-Antwort wird von der Zertifizierungsstelle digital signiert und mit einem Zeitstempel versehen. Das alles macht OCSP stapling zu einer sicheren und schnellen Methode, um die Gültigkeit zu überprüfen.

OCSP Must-Staple und OCSP Expect-Staple

Zwei neue Funktionen wurden nach der Implementierung von OCSP hinzugefügt, Must-Staple und Expect-Staple. Obwohl diese Techniken neu und anfällig für Probleme sind, stellen sie sicher, dass OCSP anstelle von CLR die beforzugte Validierungsprüfung darstellt. Bestimmte Einstellungen können jedoch Ihre Apache- und Nginx-Konfiguration "kaputt" machen. Verwenden Sie diese Techniken daher mit Vorsicht. Must-Staple ist eine Technik, bei der der Web-Browser absolut sicher ist, dass eine Website OCSP-Stapling verwendet. Aus diesem Grund sind Browser in der Lage, einen Fehler zu signalieren, wenn kein OCSP-Stapling bereitgestellt wird und damit eine Verbindung verhindert wird. Expect-Staple ist ein Berichterstellungsmechanismus, mit dem Websiteinhaber Fehler, die Besucher erhalten, verfolgen können. Damit können Websiteinhaber sehen, ob die Implementierung des OSCP-Stapling korrekt durchgeführt wurde.

Wie aktiviert man OCSP stapling auf dem Server?

Zum jetzigen Zeitpunkt unterstützen nicht alle Server und Browser das OCSP stapling. Wenn Ihr Server das OCSP stapling unterstützt, wird dringend empfohlen, diese Funktion zu aktivieren. Der Besucher wird es nicht bemerken, wenn er einen Browser benutzt, der zum OCSP stapling kompatibel ist, dieser wird es automatisch verwenden, ansonsten nur das normale OCSP.

Server support

  • Nginx 1.3.7+
  • Windows Server 2008
  • IIS 7.5 +
  • Apache 2.4 +

Browser support

  • Firefox version 26 oder später
  • Chrome 12+ unter Windows, Linux und ChromeOS
  • Internet Explorer 9+ ab Vista
  • Opera v11+

SSLCheck

SSLCheck überprüft, ob Ihr Zertifikat ordnungsgemäß auf Ihrem Server installiert ist und ob es potenzielle Probleme gibt.