Was ist OCSP?

Ein bekanntes Sprichwort besagt: Vertrauen ist gut, Kontrolle ist besser. Dies trifft insbesondere auf den Bereich der Datensicherheit und der Privatsphäre im Internet zu. Auch wenn die Verschlüsselung der Kommunikation durch ein SSL-Zertifikat inzwischen zum Standard gehört, bietet dies noch keine absolute Sicherheit. Denn wenn das Zertifikat seine Gültigkeit verloren hat, ist auch der Datenverkehr nicht mehr geschützt. Das Netzwerkprotokoll OCSP bietet eine Möglichkeit, den Status eines Zertifikats zu validieren.

Was ist OCSP?

Das Online Certificate Status Protocol (OCSP) ist ein Netzwerkprotokoll, welches es ermöglicht, den Status eines SSL-Zertifikats zu ermitteln. Hierfür wird eine Anfrage an einen OCSP-Responder gesendet. Dabei handelt es sich um einen Server, der oft auch vom Herausgeber des Zertifikats betrieben wird.

Der Responder kann die Anfrage mit folgenden Status beantworten:

• good: Das Zertifikat ist nicht gesperrt.
• revoked: Das Zertifikat ist ungültig bzw. gesperrt.
• unknown: Der Status des Zertifikats ist nicht bekannt. Dies könnte der Fall sein, wenn der Herausgeber dem Responder unbekannt ist.

Was heißt es nun, wenn Zertifikate gesperrt sind?

Warum werden Zertifikate gesperrt?

Sind Websites über SSL verschlüsselt, sind die jeweiligen Zertifikate über einen öffentlichen und einen privaten Schlüssel gesichert. Über die Zertifizierungsanforderung (CSR) sind auch einige Stammdaten hinterlegt, die den Besitzer des Zertifikats betreffen. Wenn ein Browser eine verschlüsselte Website aufruft, sendet er eine Anfrage an die Zertifizierungsstelle. Diese bestätigt die Gültigkeit des Zertifikats mit dem öffentlichen Schlüssel.

Die Validierung von SSL-Zertifikaten findet ganz automatisch durch den Browser statt. Dennoch besteht die Möglichkeit, dass Hacker sich des Zertifikats bemächtigt haben und die Antworten umleiten.

Sollte dies der Fall sein, ist der Herausgeber - eine der zahlreichen Zertifizierungstellen - verpflichtet, das Zertifikat sofort zu sperren. Der Client, der die Website aufruft, kann das aber nicht überprüfen, sofern die Antwort, die er von der Zertifizierungsstelle erwartet, manipuliert wurde. So kann die Browser-Anfrage auf einen externen Server umgeleitet werden, sodass dieser als die zuständige Zertifizierungsstelle im System erscheint. In einem solchen Fall wäre der Datenverkehr nicht mehr sicher und könnte von Dritten mitgelesen werden.

Das Netzwerkprotokoll OCSP und seine Grenzen

Zwar kann mit OCSP der Staus von verschiedenen SSL-Zertifikaten ermittelt werden. Das Netzwerkprotokoll kann jedoch keinen umfassenden Aufschluss über deren Gültigkeit geben. Hierfür spielen weitere Faktoren eine Rolle, die separat geprüft werden müssen.

Es handelt sich dabei um Folgende:

• Gültigkeitszeitraum: SSL-Zertifikate haben nur eine begrenzte Gültigkeit. Ist der Zeitraum überschritten, ist die Website nicht mehr sicher.
• Zertifizierungspfad: Über den Zertifizierungspfad lässt sich die Hierarchie der beteiligten Zertifizierungsinstanzen feststellen. Hier sollten nur vertrauenswürdige Parteien zu finden sein.

Zur Überprüfung eines SSL-Zertifikats ist das Netzwerkprotokoll OCSP ein effektives Hilfsmittel. Dennoch bietet dieses allein keine absolute Sicherheit. Es verringert aber das Risiko, durch ein gehacktes Zertifikat zu Schaden zu kommen, erheblich.

Bildnachweis: Gerd Altmann auf Pixabay