Zertifikatsanfrage? Probiers später!

Moxie Marlinspike hat sich das Online Certificate Status Protocol (OCSP) näher angeschaut, auf dem die Widerrufsmechanismen für SSL-Zertifikate beruhen. Dabei stellte er fest, dass die Statusmeldungen des OCSP-Servers nicht digital signiert sind. Somit kann ein Man-In-The-Middle die Antwort auf die Anfrage, ob ein Zertifikat noch gültig ist, nachträglich manipulieren. Setzt er den OCSPResponseStatus auf den Wert 3, interpretiert der anfragende Browser das als "Try again Later" und akzeptiert das Zertifikat vorläufig.

Defeating OCSP With The Character '3' , PDF von Moxie Marlinspike (ju)