Das Online Certificate Status Protocol (OCSP) bietet eine Möglichkeit, den Status von Zertifikaten z. B. für den Aufbau von VPN-Verbindungen zu prüfen. Die Geräte nutzen dieses Protokoll, um zu untersuchen, ob der Herausgeber das verwendete Zertifikat evtl. schon vor dem Ablauf der Gültigkeit gesperrt und damit als ungültig markiert hat.
Der Herausgeber der Zertifikate pflegt den Status aller herausgegebenen Zertifikate auf einem
speziellen Server, dem
OCSP-Responder. Der
OCSP-Client (also z. B. ein VPN-Router, der eine Verbindung aufbauen möchte) sendet einen
OCSP-Request über das HTTP-Protokoll an den Responder, um den Status des Zertifikats zu
ermitteln. Der Responder beantwortet diese Anfrage mit einer signierten Antwort, die der
OCSP-Client auf ihre Gültigkeit hin prüft. Die Antwort des OCSP-Responders beschreibt einen
der folgenden Zustände:
- good: Das überprüfte Zertifikat ist nicht gesperrt.
- evoked: Das überprüfte Zertifikat ist gesperrt und darf für den Aufbau von VPN-Verbindungen nicht mehr genutzt werden.
- unknown: Der OCSP-Responder kann den Status des Zertifikats nicht ermitteln, z. B. weil der OCSP-Responder den Herausgeber des Zertifikates nicht kennt oder weil das Zertifikat gefälscht und damit nicht in der Datenbasis des OCSP-Responders eingetragen ist.
Sie können das OCSP als Ergänzung oder als Ersatz für die Überprüfung der Zertifikate mit
Zertifikatfsrückruflisten (Certificate Revocation Lists – CRL)
verwenden. OCSP bietet gegenüber dem Ansatz der CRL folgende Vorteile:
- Die Herausgeber erstellen die CRLs in bestimmten zeitlichen Intervallen und sorgen idealerweise für die Verteilung der CRLs in die Geräte, welche die Zertifikate für den Aufbau der VPN-Verbindungen einsetzen. Die Zuverlässigkeit dieser Überprüfung ist daher an die zeitliche Aktualisierung der CRLs in den Geräten gekoppelt. Die Überprüfung der Zertifikate mit Hilfe eines OCSP-Responders ist dagegen immer "online", also automatisch auf dem aktuellen Stand. Der Betreiber des OCSP-Responders kann die dort vorgehaltenen Daten z. B. über eine automatische Synchronisierung mit den Daten der CA oder CAs abgleichen und so für einen jederzeit aktuellen Stand sorgen.
- Die Prüfung der Zertifikate gegen die Zertifikatfsrückruflisten belastet insbesondere bei großen CRLs den Speicher der Geräte. Die Abfrage des Zertifikatsstatus von einem OCSP-Responder ist dagegen unabhängig von der Anzahl der verwendeten CAs und Zertifikate und daher besser skalierbar.
- Das CRL-Verfahren liefert bei unbekannten Zertifikaten kein Ergebnis – damit kann dieses Verfahren keine gefälschten Zertifikate erkennen. Der OCSP-Responder beantwortet je nach Konfiguration die Anfrage nach unbekannten Zertifikaten mit einer negativen Bewertung.