Matthias Aevermann Systemberatung

« | Home | »

OCSP

Online Certificate Status Protocol

 

Das Online Certificate Status Protocol (OCSP) dient der Überprüfung des Status von X.509 Zertifikaten, die beispielsweise zur Verschlüsselung, Signatur und Authentifizierung verwendet werden. Im Rahmen dieser Nutzung kann es vorkommen, dass Zertifikate nicht mehr verwendet werden sollen, weil sie entweder nicht mehr vertrauenswürdig sind oder technische Gründe eine weitere Nutzung verhindern. Damit ein Kommunikationspartner weiß, dass ein solches Zertifikat nicht mehr verwendet werden soll, wird dieses Zertifikat gesperrt.
Bei einer Nutzung von Zertifikaten kann der Kommunikationspartner auf Basis einer Sperrstatus-Prüfung darüber informiert werden, dass das Zertifikat nicht mehr gültig ist und für die geplante Nutzung nicht mehr den gewünschten Nutzen hat.

Warum werden Zertifikate gesperrt?

Um diese Frage zu beantworten müssen wir uns zuerst mit dem Standard X.509 beschäftigen. X.509 ist der am weitesten verbreitete Standard für eine Public Key Infrastructure (PKI). X.509 ist ein hierarchisches Struktur bei dem eine Zertifizierungsstelle (englisch: Certification Authority) digitale Zertifikate ausstellt und für deren Vertrauenswürdigkeit garantiert. X.509 Zertifikate kommen überall da zum Einsatz, wo es um die Gewährleistung einer sicheren Kommunikation geht. X.509 Zertifikate dienen als Grundlage für vier der wichtigsten Sicherheitsanforderungen in heutigen Computersystemen: Integrität, Authentizität, Vertraulichkeit und Nichtabstreibarkeit. Auch für die fünfte Sicherheitsanforderung der Verfügbarkeit können X.509 Zertifikate eine Rolle spielen, hier kommen aber noch andere Faktoren zum Einsatz. Die Rolle, die X.509 Zertifikate für die vier genannten Sicherheitskritierien spielt sind im Folgenden beschrieben:

Integrität
Zertifikate gewährleisten, dass digitale Daten nicht verändert werden können.

Authentizität
Zertifikate ermöglichen die eindeutige Identifizierung des Kommunikationspartners anhand des Zertifikates.
Vertraulichkeit
Zertifikate sind die Grundlage für die Verschlüsselung von Daten und sichern Informationen gegen denZugriff von Dritten, da nur die Kommunikationspartner die Daten entschlüsseln können.
Nichtabstreibarkeit
Durch die digitale Signatur wird erreicht, dass der Urheber einer Nachricht oder Datei eindeutig identifiziert werden kann und als Urheber feststeht.

Aufgrund der hohen Bedeutung von X.509 Zertifikaten für die digitale Kommunikation ist es notwendig, dass ein Mechanismus vorhanden ist, um Zertifikate zurückzurufen. Dieser Mechanismus wird als Sperrung (englisch: Revocation) bezeichnet.

Die ausstellende Zertifizierungsstelle (CA) verfügt über 2 Möglichkeiten die Sperrung eines Zertifikates zu publizieren:

  1. Sperrlisten (englisch Certificate Revocations List)
  2. Online Certificate Status Protocol

An dieser Stelle möchte ich noch auf eine zukünftig, eventuell mögliche Art der Validierung von Zertifikaten hinweisen: Dem Server-based Certificate Validation Protocol (SCVP). Das Protokoll ist im RFC 5055 beschrieben, hat aber als „Proposed Standard“ in aktuellen X.509 Implementierungen noch keine Bedeutung. Eine Beschreibung des Protokolles findet sich in dem Artikel SCVP.

Die Entwicklung von OCSP hängt mit den Schwächen von Sperrlisten zusammen. Um diese darzustellen, halte ich es für sinnvoll zuerst auf das Konzept der Sperrlisten einzugehen.

Weitergehende Informationen zur X.509 und PKI stelle ich hier bereit:
Public Key Infrastructure.
 
 
Weiter lesen.