OCSP Stapling

Für die sichere Verwendung digitaler Zertifikate ist eine sorgfältige Überprüfung der Gültigkeit der Zertifikate sehr wichtig. Diese Gültigkeitsprüfung kann mit einer Zertifikatsperrliste (Certificate Revocation List, CRL) oder dem Online Certificate Status Protocol (OCSP) durchgeführt werden.

Wie funktioniert OCSP?

OCSP zeigt die aktuell Statusinformationen über die Gültigkeit eines Zertifikats an. Jedes Mal, wenn der Browser eines Besuchers eine sichere HTTPS-Verbindung mit einer Website erstellt, prüft er die Gültigkeit des Zertifikats durch die Zertifizierungsstelle (den Zertifikatsaussteller). Dies ist ein Standard und wesentlicher Bestandteil des Einrichtens der SSL-Verbindung; abhängig von der Antwort der Zertifizierungsstelle kann die Verbindung hergestellt werden oder nicht.

Was ist OCSP stapling?

Bei dieser Methode ist der Webserver der Vermittler zwischen dem Browser und der Zertifizierungsstelle. Der Webserver, auf dem das SSL-Zertifikat installiert ist, stellt dem Browser die zwischengespeicherte OCSP-Antwort bereit. Dies macht eine separate Verbindung des Browser zur Zertifizierungsstelle überflüssig. Die OCSP-Antwort wird von der Zertifizierungsstelle digital signiert und mit einem Zeitstempel versehen. Das alles macht OCSP stapling zu einer sicheren und schnellen Methode, um die Gültigkeit zu überprüfen.

Wie aktiviert man OCSP stapling auf dem Server?

Zum jetzigen Zeitpunkt unterstützen nicht alle Server und Browser das OCSP stapling. Wenn Ihr Server das OCSP stapling unterstützt, wird dringend empfohlen, diese Funktion zu aktivieren. Der Besucher wird es nicht bemerken, wenn er einen Browser benutzt, der zum OCSP stapling kompatibel ist, dieser wird es automatisch verwenden, ansonsten nur das normale OCSP.

Server support

  • Nginx 1.3.7+
  • Windows Server 2008
  • IIS 7.5 +
  • Apache 2.4 +

Browser support

  • Chrome 12+ unter Windows
  • Internet Explorer 9+ ab Vista
  • Opera v11+

SSLCheck

SSLCheck überprüft, ob Ihr Zertifikat ordnungsgemäß auf Ihrem Server installiert ist und ob es potenzielle Probleme gibt.