Was ist OCSP Stapling und wie wird es verwendet?

Zuletzt aktualisiert am von Dionisie Gitlan
OCSP-Heftung

Wenn es um Online-Sicherheit geht, ist OCSP Stapling eine entscheidende Technologie, die sowohl die Geschwindigkeit als auch den Datenschutz von SSL/TLS-Verbindungen verbessert. Durch den Einsatz dieser Technologie können Websites Zertifikatsinformationen effizienter bereitstellen, was sowohl die Leistung der Website als auch die Benutzerfreundlichkeit verbessert.

In diesem Artikel erfahren Sie, was OCSP Stapling ist, welche Vorteile es bietet, wie es funktioniert und warum es ein wesentlicher Bestandteil der SSL-Optimierung geworden ist.

Inhaltsübersicht

  1. Was ist OCSP Stapling?
  2. Warum wurde OCSP Stapling entwickelt?
  3. Wie funktioniert OCSP Stapling?
  4. Die wichtigsten Vorteile von OCSP Stapling
  5. Unterschied zwischen OCSP und OCSP Stapling
  6. Alternativen zu OCSP Stapling: OCSP Must-Staple
  7. Nachteile von OCSP Stapling
  8. Wie kann ich OCSP Stapling aktivieren?
Holen Sie sich noch heute SSL-Zertifikate

Was ist OCSP Stapling?

OCSP Stapling ist eine erweiterte Funktion von SSL/TLS-Protokolle die es einem Webserver ermöglicht, während des SSL-Handshakes eine OCSP-Antwort (Online Certificate Status Protocol) direkt an Clients, wie z.B. Webbrowser, zu senden. Traditionell würden Web-Clients eine Anfrage an die Zertifizierungsstelle (CA) direkt ab, um den Status des SSL-Zertifikats einer Website zu überprüfen. OCSP Stapling ändert diesen Prozess jedoch, indem es dem Server ermöglicht , eine aktuelle OCSP-Antwort an seinen SSL-Handshake “anzuheften”, so dass der Client nicht mehr mit der CA interagieren muss.

Das OCSP-Protokoll selbst soll sicherstellen, dass SSL-Zertifikate noch gültig sind und nicht widerrufen wurden, indem es Statusaktualisierungen über einen OCSP-Responder bereitstellt. Es fungiert als Alternative zur herkömmlichen Sperrliste für Zertifikate zur Überprüfung der Gültigkeit. Durch die Aktivierung von OCSP Stapling helfen Website-Besitzer, den Bedarf an externen Anfragen zu minimieren und bieten einen schnelleren und privateren SSL-Überprüfungsprozess.

Warum wurde OCSP Stapling entwickelt?

OCSP Stapling wurde eingeführt, um verschiedene Probleme mit herkömmlichen OCSP-Prüfungen zu lösen, vor allem Latenzzeiten und Datenschutzprobleme, und um widerrufene Zertifikate effizient zu identifizieren.

Beim herkömmlichen OCSP-Ansatz musste ein Client (z.B. ein Webbrowser) jedes Mal, wenn er ein SSL-Zertifikat überprüfen wollte, OCSP-Abfragen an die Zertifizierungsstelle senden, um die Gültigkeit des Zertifikats zu bestätigen. Diese direkte Abfrage führt häufig zu langsameren Ladezeiten, da der Browser auf eine Antwort von einem externen Server warten muss. Außerdem werden durch die direkten OCSP-Anfragen die Aktivitäten des Clients bei der Zertifizierungsstelle offengelegt, was ein Risiko für den Datenschutz darstellt.

OCSP Stapling wurde entwickelt, um diese Probleme zu lösen, indem der Webserver selbst eine OCSP-Antwort abrufen und zwischenspeichern kann. Auf diese Weise kann der Server eine gültige OCSP-Antwort direkt an die Kunden ausliefern, ohne dass separate Überprüfungsschritte erforderlich sind, was die Latenzzeit verkürzt und die Privatsphäre der Kunden schützt.

Wie funktioniert OCSP Stapling?

Das Verfahren ist einfach, aber effektiv. Hier finden Sie eine schrittweise Erklärung:

  1. Server-Anfrage: Der Webserver fordert in regelmäßigen Abständen eine OCSP-Antwort von der Zertifizierungsstelle an. Diese Antwort zeigt den Widerrufsstatus des Zertifikats an und bestätigt seine Gültigkeit.
  2. Zwischenspeichern der Antwort: Der Server speichert diese OCSP-Antwort im Cache, so dass sie innerhalb eines bestimmten Zeitraums (in der Regel 24 Stunden) mehrfach verwendet werden kann. Diese zwischengespeicherte Antwort ist das, was der Server später den verbindenden Clients zur Verfügung stellt.
  3. Heften der Antwort: Wenn ein Client versucht, eine SSL-Verbindung herzustellen, fügt der Server die zwischengespeicherte OCSP-Antwort als Teil des SSL-Handshake ein. Diese geheftete Antwort bestätigt dem Client, dass das SSL-Zertifikat noch gültig ist, ohne dass eine zusätzliche CA-Anfrage erforderlich ist.
  4. Client-Verifizierung: Der Client (z. B. ein Webbrowser) prüft die geheftete OCSP-Antwort während des SSL-Handshakes. Wenn die Antwort gültig und aktuell ist, schließt der Client die Verbindung ab, ohne direkt bei der CA nachfragen zu müssen.

Durch das Stapeln der OCSP-Antwort kann der Server die Latenzzeit verringern und die SSL-Handshake-Geschwindigkeit verbessern, wodurch die Verbindung sowohl schneller als auch sicherer wird.

Die wichtigsten Vorteile von OCSP Stapling

Die Implementierung bietet mehrere Vorteile für die Leistung der Website und den Datenschutz der Nutzer:

  • Verringerung von Geschwindigkeit und Latenz: Indem der Server die OCSP-Antwort direkt bereitstellt, entfällt die Notwendigkeit einer separaten Anfrage an die Zertifizierungsstelle, was die Latenzzeit verringert und die SSL-Handshakes beschleunigt.
  • Verbesserter Datenschutz für Benutzer: Durch direkte OCSP-Anfragen können die Zertifizierungsstellen sehen, welche Kunden eine bestimmte Website besuchen. Durch die Verwendung von OCSP-Stapling werden diese Informationen nicht mehr weitergegeben, wodurch die Privatsphäre der Benutzer geschützt wird.
  • Geringere Belastung der Zertifizierungsstellen (CAs): Die Menge der von den Zertifizierungsstellen zu bearbeitenden Anfragen wird minimiert, was die Zuverlässigkeit und Reaktionsfähigkeit der Zertifizierungssysteme verbessert.

Diese Vorteile machen es zu einem leistungsstarken Werkzeug für die Verbesserung von SSL-Verbindungen, was es zu einer immer beliebteren Wahl für Website-Besitzer und Administratoren macht.

Unterschied zwischen OCSP und OCSP Stapling

Das Verständnis des Unterschieds zwischen traditionellem OCSP und OCSP Stapling ist wichtig, um zu verstehen, warum es für moderne SSL-Implementierungen bevorzugt wird.

Bei einer herkömmlichen OCSP-Konfiguration fragt der Client direkt bei der Zertifizierungsstelle an, um den Zertifikatsstatus zu überprüfen. Dieser Prozess ist zwar effektiv, kann aber zu langsameren Ladezeiten führen, da bei jeder Abfrage eine neue externe Anfrage gestellt wird. Außerdem wird bei OCSP die IP-Adresse des Kunden an die Zertifizierungsstelle weitergegeben, was zu Datenschutzproblemen führen kann.

Beim OCSP-Stapling hingegen bearbeitet der Server diese OCSP-Antwortanforderung im Namen des Clients. Er ruft den Status des digitalen Zertifikats direkt von der Zertifizierungsstelle ab und speichert ihn im Cache, so dass er diese Antwort an den SSL-Handshake “anheften” kann. Auf diese Weise erhält der Client die Zertifikatsüberprüfung ohne die zusätzliche Anfrage, was zu einer schnelleren und privateren SSL-Überprüfung führt.

Alternativen zu OCSP Stapling: OCSP-Must-Staple

Für Websites, die eine zusätzliche SSL-Sicherheitsebene benötigen, ist OCSP Must-Staple eine überzeugende Alternative. Diese Funktion erfordert, dass der Server während des SSL-Handshakes immer eine gültige OCSP-Antwort übermittelt. OCSP Must-Staple fügt dem SSL-Zertifikat selbst eine Sicherheitsanweisung hinzu, die die Browser anweist, das Zertifikat abzulehnen, wenn der Server keine OCSP-Antwort mit Stapeln bereitstellt.

Die wichtigsten Vorteile von OCSP Must-Staple

  • Sorgt für eine frische Zertifikatsvalidierung: Im Gegensatz zum standardmäßigen OCSP-Stapling, das möglicherweise eine veraltete OCSP-Antwort liefert, verlangt OCSP Must-Staple, dass die Antwort sowohl gültig als auch aktuell ist. Dies gewährleistet ein höheres Maß an Vertrauen in den Status des Zertifikats.
  • Erhöht die Sicherheitsstandards: Durch die obligatorische OCSP-Stapelung verringert OCSP Must-Staple das Risiko, dass ein ungültiges Zertifikat von Clients unentdeckt bleibt, und ist damit ideal für Standorte, die hohe Sicherheitsstandards bevorzugen.

OCSP Must-Staple bietet zwar mehr Sicherheit, ist aber möglicherweise nicht für alle Websites geeignet. Für kleinere Websites oder Websites ohne hohe Sicherheitsanforderungen ist die Standard-OCSP-Stapling-Einrichtung möglicherweise ausreichend.

Sparen Sie 10% bei SSL-Zertifikaten

Nachteile von OCSP Stapling

OCSP Stapling bietet zwar bemerkenswerte Vorteile, aber es ist auch wichtig, mögliche Nachteile und Einschränkungen zu berücksichtigen.

  • Server-Abhängigkeit: Da die OCSP-Antwort vom Server bereitgestellt wird, ist der Server für die regelmäßige Aktualisierung und Zwischenspeicherung gültiger Antworten verantwortlich. Wenn die OCSP-Antwort veraltet oder ungültig wird, kann dies Auswirkungen auf SSL-Handshakes haben.
  • Kompatibilitätsprobleme: Einige ältere Clients unterstützen OCSP-Stapling möglicherweise nicht vollständig, was zu Kompatibilitätsproblemen führen kann. Die meisten modernen Browser und Geräte können jedoch geklammerte OCSP-Antworten verarbeiten.
  • Einzelner Fehlerpunkt: Wenn der OCSP-Stapling-Mechanismus Probleme hat, kann er Clients daran hindern, den Status des SSL-Zertifikats zu bestätigen, wodurch der Benutzerzugriff unterbrochen werden könnte.

Wie kann ich OCSP Stapling aktivieren?

Im Folgenden finden Sie Anleitungen zur Aktivierung von OCSP Stapling auf den beliebten Windows-, Apache- und Nginx-Servern.

OCSP-Heftung unter Windows aktivieren

OCSP-Stapling ist unter Windows Server 2008 und späteren Versionen standardmäßig aktiviert. Wenn Sie eine frühere Version von Windows Server verwenden, ist die Aktivierung nicht möglich. Bitte aktualisieren Sie auf Windows 2008 oder höher.

OCSP-Stapling auf Apache aktivieren

Apache unterstützt OCSP Stapling ab Apache HTTPD Web Server 2.3.3+. Wenn Sie nicht wissen, welche Version Sie benutzen, verwenden Sie die folgenden Befehle:

apache2 -v
httpd -v

Prüfen Sie dann, ob OCSP aktiviert ist. Folgen Sie den nachstehenden Schritten:

  1. Geben Sie in OpenSSL den folgenden Befehl ein:

    openssl.exe s_client -connect [yourdomain .com]:443 -status

    Wenn OCSP aktiviert ist, erhalten Sie die folgende Antwort im Abschnitt OCSP-Antwortdaten: “OCSP-Antwortstatus: erfolgreich (0x0)”. Wenn OCSP nicht aktiviert ist, werden keine OCSP-Antwortdaten angezeigt. Stellen Sie in diesem Fall sicher, dass Ihr Zwischenzertifikat korrekt installiert ist.
  2. Überprüfen Sie, ob Ihr Apache-Server erfolgreich eine Verbindung zum OCSP-Server hergestellt hat. Führen Sie den folgenden Befehl aus:

    curl ocsp.digicert.com/ping.html
  3. Um OCSP Stapling zu aktivieren, müssen Sie die Konfigurationsdatei des virtuellen Hosts für Ihre Website (ihre-domain.com-ssl.conf) mit einem Editor Ihrer Wahl bearbeiten. Die Konfigurationsdatei befindet sich normalerweise in folgendem Verzeichnis: etc/apache2/sites-available/ihre-domain.com-ssl.conf
  4. Öffnen Sie die Datei und nehmen Sie die folgenden Änderungen vor:
    • Fügen Sie die folgenden Zeilen innerhalb der Tags <VirtualHost> hinzu:

      SSLUseStapling on
      SSLStaplingResponderTimeout 5
      SSLStaplingReturnResponderErrors off
    • Fügen Sie innerhalb der Tags eine Zeile hinzu, die auf eine vertrauenswürdige Zertifikatskettendatei verweist. Diese muss die Zwischen- und Stammzertifikate in der richtigen Reihenfolge enthalten:

      SSLCACertificateFile /etc/apache2/ssl/full_chain.pem
    • Fügen Sie die folgende Zeile außerhalb der Tags <VirtualHost> hinzu:

      SSLStaplingCache shmcb:/var/run/ocsp(128000)
  5. Testen Sie Ihre Konfiguration:

    apachectl -t
  6. Starten Sie den Apache-Server neu

    apachectl restart

Aktivieren von OCSP-Stapling auf NGINX

Es ist auf NGINX 13,7 oder höher verfügbar. Überprüfen Sie die Version Ihres NGINX-Webservers:
nginx-v

Verwenden Sie die folgenden OpenSSL-Befehlszeilen:

  1. Prüfen Sie, ob sie aktiviert ist. Führen Sie in OpenSSL den folgenden Befehl aus:

    openssl s_client -connect [yourdomain .com]:443 -status
  2. Wenn OCSP aktiviert ist, sollte im Abschnitt OCSP-Antwortdaten stehen: OCSP-Antwortstatus: erfolgreich (0x0)
  3. Wenn sie nicht aktiviert ist, werden keine OCSP-Antwortdaten angezeigt. Wenn Sie keine Bestätigung erhalten, dass OCSP aktiviert ist, verwenden Sie diese Anleitung zur Fehlerbehebung.
  4. Um sie zu aktivieren, bearbeiten Sie zunächst die Konfigurationsdatei des Serverblocks für Ihre Website (oder nginx.conf, wenn keine Serverblöcke verwendet werden):

    nano /etc/nginx/sites-enabled/meine-domäne.de-ssl.conf

    oder

    nano /etc/nginx/nginx.conf

    Hinweis: Wenn Sie die Funktion nur für einen Serverblock aktivieren müssen, muss es sich um den “default_server” handeln. Wenn Sie ihn auf mehreren Serverblöcken aktivieren müssen, muss er zuerst auf dem “default_server” aktiviert werden. Dann kann er auf jedem anderen Serverblock aktiviert werden.
  5. Aktivieren Sie OCSP Stapling und ermöglichen Sie dem Server, OCSP Stapling zu überprüfen, indem Sie zwei Zeilen in den Serverblock einfügen:

    ssl_stapling on;
    ssl_stapling_verify on;
  6. Geben Sie eine vertrauenswürdige Zertifikatskettendatei an, die die Zwischen- und Stammzertifikate in dieser Reihenfolge enthält:

    ssl_trusted_certificate /etc/nginx/ssl/full_chain.pem
  7. Überprüfen Sie Ihre Konfiguration:

    sudoservice nginx configtest
  8. NGINX neu starten:

    sudoservice nginx reload

Unterm Strich

Wir von SSL Dragon helfen Ihnen, die Komplexität der SSL/TLS-Sicherheit zu bewältigen und Ihren Benutzern das bestmögliche Surferlebnis zu bieten. OCSP Stapling ist ein leistungsfähiges Tool zur Steigerung der Geschwindigkeit und des Datenschutzes bei SSL-Verbindungen und damit eine wesentliche Funktion für moderne Websites.

Wir bieten eine große Auswahl an SSL-Zertifikaten an, die OCSP Stapling unterstützen und damit sicherstellen, dass Ihre Website die höchsten Standards für Geschwindigkeit und Sicherheit erfüllt. Beginnen Sie noch heute mit der Optimierung Ihrer SSL-Einrichtung und erleben Sie den Unterschied durch schnellere und sicherere Verbindungen.

Sparen Sie 10% auf SSL-Zertifikate, wenn Sie noch heute bestellen!

Schnelle Ausstellung, starke Verschlüsselung, 99,99% Browser-Vertrauen, engagierter Support und 25-tägige Geld-zurück-Garantie. Gutscheincode: SAVE10

Jetzt bestellen
A detailed image of a dragon in flight
Geschrieben von

Erfahrener Content-Autor, spezialisiert auf SSL-Zertifikate. Verwandeln Sie komplexe Cybersicherheitsthemen in klare, ansprechende Inhalte. Tragen Sie durch wirkungsvolle Narrative zur Verbesserung der digitalen Sicherheit bei.

Verwandte Beiträge
Check an SSL Certificate in Linux with OpenSSL
Wie prüft man ein Zertifikat mit OpenSSL-Befehlen unter Linux?
Was ist OpenSSL? Wie funktioniert OpenSSL?
What Is Port 443
Port 443 erklärt: Was ist das und warum sollte man es verwenden?
Perfect Forward Secrecy
Was ist perfekte Geheimhaltung in der Cybersicherheit?
SSL Port
Was ist ein SSL-Port? Der vollständige Leitfaden