Digitale Zertifikate: Online-Sperrung wird optional, Sperrlisten zur Pflicht

Das Echtzeit-Protokoll OCSP hatte mit Zuverlässigkeitsproblemen und Datenschutzbedenken zu kämpfen. Ab heute müssen CAs ihre Sperrlisten besser pflegen.

In Pocket speichern vorlesen Druckansicht 71 Kommentare lesen
Schloss als Symbol fĂĽr Zensur

(Bild: Michal Jarmoluk, gemeinfrei)

Lesezeit: 3 Min.

Die großen Browserhersteller und Zertifikats-Aussteller ziehen einen vorläufigen Schlussstrich unter ihre Unterstützung für Online Certificate Status Protocol (OCSP) und setzen künftig wieder voll auf regelmäßig, aber nicht in Echtzeit aktualisierte Sperrlisten (Certificate Revocation List, CRL). Diese, so die Selbstverpflichtung der im "CA/Browser Forum" organisierten Stellen, werden künftig schneller auf den neuesten Stand gebracht.

Jenes Forum, abgekĂĽrzt CAB, ist ein Zusammenschluss der Browserhersteller und der Certificate Authorities (CAs). In seinen sogenannten "Baseline Requirements" standardisiert das Gremium den Internet-weiten Umgang mit Zertifikaten nach dem ITU-T-Standard X.509, gemeinhin als "TLS-Zertifikate" bekannt.

In manchen Fällen müssen solche Zertifikate bereits vor ihrem Ablauf zurückgezogen werden. Das geschieht etwa, wenn der zum Zertifikat gehörende private Schlüssel untauglich oder kompromittiert ist, das Zertifikat widerrechtlich ausgestellt wurde oder es inkorrekte Informationen enthält.

Dieser als "Revocation" bekannte Vorgang kann auf zwei Arten stattfinden: Die zuständige CA trägt die Seriennummer des zurückgezogenen Zertifikats in eine "Certificate Revocation List" (CRL) ein, also eine Liste, die durch Gegenstellen wie Browser heruntergeladen und bei jeder neuen TLS-Verbindung überprüft wird. Um die unhandlichen Listen – allein das deutsche Forschungsnetz DFN hält etwa 700 davon vor – abzuschaffen, konzipierten Experten das Protokoll OCSP. Die Idee: Statt im Hintergrund eine Liste herunterzuladen und diese aufwendig nach dem gesuchten Zertifikat durchzugehen, erhalte der Browser in Echtzeit eine Information zu dessen Status.

OCSP litt jedoch von Anfang an unter Problemen, die seine Nutzbarkeit in der Praxis stark einschränkten. Die Überprüfungsdienste, OCSP Responder genannt, liefen nicht sehr stabil und die Online-Abfrage von Zertifikatsinformationen sahen Browserhersteller wie Google als Bedrohung für die Privatsphäre. So blieben lediglich die CRLs, deren Position nun gestärkt ist.

Ab dem heutigen 15. März müssen die Zertifikats-Aussteller eine vollständige CRL veröffentlichen und Zertifikate müssen spätestens 24 Stunden, nachdem sie zurückgezogen wurden, dort auftauchen. Das hatten Apple und Mozilla bereits 2022 zur Bedingung für vertrauenswürdige CAs gemacht. Möchte eine CA weiter OCSP unterstützen, so steht ihr das frei – vorgeschrieben ist es jedoch nicht mehr.

Es ist somit zu erwarten, dass die UnterstĂĽtzung fĂĽr OCSP bei den Zertifizierungsstellen rasch schwindet und das Protokoll in der Versenkung verschwindet.

Abseits von Webserver-Zertifikaten sorgte OCSP auch in der deutschen Medizin für Ungemach. Die Gematik macht Schwierigkeiten mit dem Protokoll für immer wiederkehrende Ausfälle bei der Telematikinfrastruktur (TI) verantwortlich. Arztpraxen sind auf die TI angewiesen, um elektronische Rezepte und Atteste auszustellen.

(cku)