Matthias Aevermann Systemberatung

« | Home | »

Einführung in OCSP – Seite 2

Welchen Zweck haben Sperrlisten?

Sperrlisten enthalten alle von einer CA ausgestellten und zwischenzeitlich gesperrten Zertifikate. Üblicherweise wird die Seriennummer eines Zertifikates mit dem Sperrzeitpunkt eingetragen.

Optional kann für jeden Eintrag auch der Sperrgrund eingetragen werden. In der Praxis empfiehlt es sich, immer einen passenden Sperrgrund anzugeben, da so die eigenen Kommunikationspartnern selbständig Sperrgründe prüfen können.

Es gibt 6 mögliche Sperrgründe, die in Sperrlisten eingetragen werden. Die Sperrung von Zertifikaten ist ein normaler Prozess im Zuge des Betriebes einer PKI, nur in Einzelfällen erfolgt eine Sperrung aufgrund von aufgetretenen Sicherheitsproblemen, sprich der Kompromittierung eines privaten Schlüssels.

Folgende Sperrgründe können verwendet werden:

  1. Schlüsselkompromittierung
    Dieser Sperrgrund wird verwendet, wenn die alleinige Kontrolle über den privaten Schlüssel verloren wurde und jemand Zugriff auf den privaten Schlüssel erlangen konnte. Der Schlüssel gilt dann als kompromittiert und sollte nicht mehr verwendet werden. Dieser Sperrgrund bezieht sich nur auf den privaten Schlüssel eines Endbenutzer-Zertifikates.
  2. Stellenkompromittierung
    Bei dem zweiten Sperrgrund ist der private Schlüssel der ausgebenden CA kompromittiert worden und die Sicherheit der gesamten PKI Infrastruktur ist eingeschränkt und es ist notwendig alle Zertifikate innerhalb einer Hierarchie außer Betrieb zu nehmen.
  3. Zuordnung geändert
    Dieser Sperrgrund wird verwendet, wenn sich z.B. Namen ändern und der im Zertifikat enthaltene Name nicht mehr gültig ist.
  4. Abgelöst
    Ein Zertifikat wurde durch ein anderes Zertifikat mit gleichem Nutzungszweck ersetzt.
  5. Vorgangsende
    Dieser Grund wird z.b. verwendet, wenn der Betrieb einer PKI eingestellt würde und alle von dieser CA ausgestellten Zertifikate gesperrt werden müssen.
  6. Zertifikat blockiert
    Dieser Sperrgrund ermöglicht eine temporäre Sperrung von Zertifikaten, beispielsweise wenn ein Zertifikat für eine bestimmten Zeitraum nicht verwendet werden soll, es später aber wieder zum Einsatz kommen kann. Zu diesem Sperrgrund existieren unterschiedliche Meinungen, teilweise wird aus Gründen der fehlenden Eindeutigkeit von seiner Verwendung abgeraten. Gegner der Verwendung dieses Sperrgrundes argumentieren, dass die Eindeutigkeit von Zertifikaten bei einer temporären Sperrung verloren ginge und das Zertifikat seinen Nachweis-Charakter verlöre.

Wird kein Sperrgrund angegeben, so wird in die Sperrliste der Wert 0 eingetragen, der für “nicht spezifiziert” bzw. “nicht angegeben” steht.

Die Sperrlisten werden anschließend auf den so genannten CRL Distribution Points (CDP) bereitgestellt und haben den Suffix .crl. Bei den CDPs sollte aus Kompatiblitätsgründen ein LDAP Verzeichnisse (wie dem Active Directory) oder HTTP-Servern verwendet werden. Der Zugriff auf diese CDPs erfolgt auf Basis des Attributes Sperrlisten-Verteilungspunkt in einem Zertifikat.


 

Welche Dateigröße haben Sperrlisten?

Je mehr Zertifikate gesperrt werden, um so größer wird somit die Sperrliste. Dies kann zu einem Problem werden. Je größer eine Sperrliste ist, um so höher ist das Risiko, dass die Übertragung und Überprüfung der Sperrlisten länger dauert als der Maximalwert für die Sperrlisten-Prüfung. Überschreitet die gesamte Verarbeitungsdauer einer Sperrliste diesen Maximalwert, wird der Zugriff abgebrochen. Die Folge ist das der Sperrstatus des Zertifikates als nicht validiert eingestuft und für eine Kommunikation als ungültig eingestuft wird.

Bei der Entwicklung von OCSP spielte die Größe der Sperrliste eine entscheidende Rolle, ich möchte daher kurz auf die zu erwartende Größe von Sperrlisten eingehen. Um die ungefähre Größe einer Sperrliste zu berechnen, sind folgende Annahmen laut Microsoft sinnvoll.

Somit ergibt sich eine erwartete Dateigröße der Sperrliste von:

Anzahl Zertifikate Anteil Sperrungen Größe in KB
100 10 1 kB
500 50 2 kB
1000 100 3 kB
5000 500 15 kB
10000 1000 29 kB
50000 5000 146 kB
100000 10000 293 kB

 

Bei anderen PKI Implementierungen kann die Größe leicht variieren, da die Länge der Seriennummer einen direkten Einfluss auf die Gesamtgröße hat. Bei einer Microsoft CA hat die Seriennummer des Zertifikates eine Länge von 20 Byte, andere Implementierungen verwenden kürzere Seriennummern und haben daher Sperrlisten mit einer geringeren Größe. Es ist aber zu beachten, dass es sich hierbei um eine Modellrechnung handelt und die tatsächlichen Größe sich von der Annahme unterscheiden kann.

Weiter lesen.