Was ist OCSP Stapling und wie wird es verwendet?

Zuletzt aktualisiert am von Dionisie Gitlan
OCSP Stapling

Ein gültiges SSL-Zertifikat, das von einer vertrauenswürdigen Zertifizierungsstelle unterzeichnet wurde, ist heute für alle Websites obligatorisch. Wenn Ihr Zertifikat abgelaufen ist oder widerrufen wurde, vertrauen die Browser ihm nicht mehr. Browser verwenden das Online Certificate Status Protocol (OCSP), um die Gültigkeit Ihres SSL-Zertifikats zu ermitteln. Das ursprüngliche OCSP hat jedoch einige Schwachstellen, die durch die OCSP-Stapling-Technologie erfolgreich überwunden werden.

In diesem Artikel erfahren Sie, was OCSP Stapling ist, wie es funktioniert und warum es für die SSL-Verwaltung und -Infrastruktur wichtig ist.

Inhaltsübersicht

  1. Was ist OCSP?
  2. Was ist OCSP Stapling?
  3. Wie OCSP Stapling funktioniert
  4. Was sind die Vorteile von OCSP Stapling?
  5. Was sind die Einschränkungen von OCSP Stapling?
  6. Welche Browser unterstützen OCSP Stapling?
  7. Wie kann man überprüfen, ob auf dem Server OCSP-Heftung aktiviert ist?
  8. Wie kann ich OCSP Stapling aktivieren?

Was ist OCSP?

Vereinfacht ausgedrückt ist OCSP eine Möglichkeit für Ihr Gerät (mobil oder Desktop) zu prüfen, ob ein von einer Website verwendetes digitales Zertifikat noch gültig ist.

SSL-Zertifikate sichern Websites und Online-Transaktionen, indem sie deren Identität überprüfen und die zwischen den Browsern der Nutzer und den Servern der Website ausgetauschten Daten verschlüsseln. Alle vertrauenswürdigen Zertifikate haben jedoch ein Verfallsdatum. Außerdem können sie bei kritischen Sicherheitsvorfällen widerrufen werden und sind dann nicht mehr vertrauenswürdig.

An dieser Stelle kommt OCSP ins Spiel. Wenn Sie eine Website mit HTTPS besuchen, prüft Ihr Browser bei der Zertifizierungsstelle (CA) der Website, ob das Zertifikat noch gültig ist.

Dieser Vorgang läuft im Hintergrund ab, und wenn das Zertifikat nicht mehr gültig ist, zeigt Ihr Browser eine Warnmeldung an, um Sie auf mögliche Sicherheitsrisiken hinzuweisen.

Was ist OCSP Stapling?

OCSP-Stapling ist eine Technologie, die die Leistung und Sicherheit der OCSP-Prüfung (Online Certificate Status Protocol) verbessert, die ein Webbrowser durchführt, um das SSL-Zertifikat der Website zu validieren.

Beim OCSP-Stapling erhält der Server der Website die OCSP-Antwort von der Zertifizierungsstelle und heftet sie während des SSL-Handshake-Prozesses an das SSL-Zertifikat an. Die geheftete Antwort wird dann zusammen mit dem Zertifikat an den Browser gesendet, so dass der Browser keine separate OCSP-Prüfung durchführen muss.

Was ist OCSP Must-Staple?

OCSP Must-Staple ist eine Sicherheitserweiterung, die zu einem SSL-Zertifikat hinzugefügt werden kann, um sicherzustellen, dass der Status des Zertifikats bei jedem Besuch einer Website überprüft wird. Wenn für ein Zertifikat OCSP Must-Staple aktiviert ist, muss der Server der Website dem Client jedes Mal, wenn er ein SSL-Zertifikat erhält, ein OCSP-Staple übermitteln.

Wenn der Server bei der Überprüfung des Zertifikatsstatus keine gültige Antwort erhält, kann die Website nicht geladen werden. Dadurch wird verhindert, dass Angreifer gesperrte Zertifikate nutzen, um sich als Website auszugeben oder sensible Daten abzufangen.

Wie unterscheidet sich OCSP Stapling von CRLs?

OCSP Stapling und Certificate Revocation Lists (CRLs ) werden zur Überprüfung des Widerrufsstatus von SSL-Zertifikaten verwendet. Sie funktionieren und beeinflussen den SSL-Handshake-Prozess jedoch unterschiedlich.

Certificate Revocation Lists (CRLs ) sind Repositories, die eine Liste der widerrufenen Zertifikate enthalten. Wenn sich ein Client über SSL mit einem Server verbindet, sendet der Server sein digitales Zertifikat an den Client.

Der Client überprüft dann den Sperrstatus des Zertifikats, indem er die CRL aus dem Repository des Zertifikatsausstellers herunterlädt und die Seriennummer des Zertifikats mit der Liste der gesperrten Zertifikate vergleicht. Wenn das Zertifikat in der CRL enthalten ist, lehnt der Client das Zertifikat ab und beendet den Handshake.

OCSP-Stapling hingegen ist ein Mechanismus, der es dem Server ermöglicht, bei der Zertifikatsstatusabfrage eine signierte und mit einem Zeitstempel versehene OCSP-Antwort (Online Certificate Status Protocol) zusammen mit seinem digitalen Zertifikat bereitzustellen.

Da sie bereits den Sperrstatus des Zertifikats enthält, muss der Client nur den direkt vom Server bereitgestellten OCSP-Responder prüfen, anstatt die CRL herunterzuladen und den Status des Zertifikats anhand der Liste gesperrter Zertifikate zu überprüfen.

Warum ist OCSP Stapling von Bedeutung?

Wenn Sie auf eine HTTPS-Website zugreifen, überprüft Ihr Browser den Status Ihres digitalen Zertifikats. Um zu bestätigen, dass Ihr Zertifikat noch gültig ist, kontaktiert der Browser mittels OCSP den Aussteller, d. h. die Zertifizierungsstelle. Da die Zertifizierungsstelle die einzige Stelle ist, die wichtige Informationen über das SSL-Zertifikat besitzt, muss sie eine große Anzahl von OCSP-Anfragen in Echtzeit beantworten, insbesondere von Websites mit hohem Datenverkehr.

Aus finanzieller Sicht ist dies eine kostenintensive Praxis für die Zertifizierungsstelle, aber auch die Endbenutzer sind davon betroffen, da mehrere OCSP-Antworten die Ladegeschwindigkeit verlangsamen. Bei einfachem OCSP müssen die Browser das Zertifikat beim Webserver und bei der Zertifizierungsstelle erfragen. OCSP-Heftung vereinfacht den gesamten Prozess.

Wie OCSP Stapling funktioniert

Wie Sie bereits wissen, muss ein Browser, wenn er eine Verbindung zu einer sicheren Website herstellt, die OCSP-Server der Zertifizierungsstelle kontaktieren, um die Gültigkeit des SSL-Zertifikats zu überprüfen. Dieser Vorgang kann die Ladezeit der Seite verzögern, da der Browser auf die Antwort des OCSP-Servers warten muss.

OCSP Stapling verbessert das OCSP-Protokoll, indem es den Webserver anstelle des Browsers die CA nach dem Status des SSL-Zertifikats fragen lässt. Wenn der Webserver den SSL-Anbieter kontaktiert, liefert die Zertifizierungsstelle eine hochsichere, mit einem digitalen Zeitstempel versehene Antwort. Wenn der Webserver nun eine Verbindung zu einem Browser herstellt, verbindet er den signierten Zeitstempel mit dem SSL-Zertifikat, wodurch die Überprüfung schneller erfolgt. Anstatt sich an die CA zu wenden, überprüft der Browser den Zeitstempel des Servers und vertraut dem Zertifikat, da er eine zuverlässige CA bildet.

Was sind die Vorteile von OCSP Stapling?

OCSP Stapling bietet mehrere Vorteile, aber die wichtigsten sind die erhöhte Sicherheit, die verbesserte Leistung und der geringere Netzwerkverkehr.

  • Verbesserte Sicherheit. OCSP Stapling verhindert Sicherheitsangriffe, die aufgrund von widerrufenen Zertifikaten auftreten können. Die geheftete Antwort stellt sicher, dass der Client über den aktuellsten Zertifikatswiderrufsstatus verfügt, wodurch das Risiko von Man-in-the-Middle-Angriffen und anderen zertifikatsbasierten Schwachstellen verringert wird.
  • Verbesserte Leistung. OCSP Stapling verbessert die Leistung, indem es die Latenzzeit im Zusammenhang mit Zertifikatswiderrufsprüfungen reduziert. Anstatt dass der Client den OCSP-Server der Zertifizierungsstelle direkt abfragen muss, kann der Server eine geheftete Antwort im SSL-Handshake bereitstellen, wodurch sich die Anzahl der Roundtrips verringert und der Verbindungsaufbau beschleunigt wird.
  • Weniger Netzwerkverkehr. Da der OCSP-Server der Zertifizierungsstelle nicht mehr direkt kontaktiert werden muss, kann OCSP Stapling den Netzwerkverkehr und die Serverlast erheblich reduzieren. Dies kann dazu beitragen, die Skalierbarkeit und Zuverlässigkeit der Website zu verbessern, insbesondere in Zeiten mit hohem Besucheraufkommen.

Was sind die Einschränkungen von OCSP Stapling?

OCSP Stapling bietet zwar mehrere Vorteile, hat aber auch Einschränkungen und potenzielle Nachteile. Hier sind einige von ihnen:

  • Mögliche Sicherheitsrisiken. Beim OCSP-Stapling werden sensible Informationen im Klartext über das Netz gesendet, was potenzielle Sicherheitsrisiken mit sich bringen kann. Ein Angreifer könnte beispielsweise die geheftete Antwort abfangen und verändern, was dem Kunden ein falsches Sicherheitsgefühl vermitteln würde.
  • Abhängigkeit von der Zertifizierungsstelle. Beim OCSP-Heften muss der Webserver die geheftete Antwort vom OCSP-Server der Zertifizierungsstelle erhalten. Wenn der OCSP-Server der CA ausgefallen ist oder Probleme hat, kann der Webserver keine gültige Stapled-Antwort liefern.
  • Caching-Probleme. OCSP-Heftungsantworten werden von Clients und Servern zwischengespeichert, was zu Problemen führen kann, wenn der Cache nicht regelmäßig aktualisiert wird. Wenn ein Zertifikat widerrufen wird, nachdem die Stapling-Antwort zwischengespeichert wurde, kann der Client dem Zertifikat weiterhin vertrauen, bis der Cache aktualisiert wird.

Welche Browser unterstützen OCSP Stapling?

Die meisten modernen Webbrowser wie Chrome, Firefox, Safari und Microsoft Edge unterstützen OCSP-Heftung. Allerdings kann es sein, dass einige ältere oder weniger verbreitete Browser dies nicht unterstützen oder dass der Grad der Unterstützung je nach Version und Konfiguration variiert.

Wie kann man überprüfen, ob auf dem Server OCSP-Heftung aktiviert ist?

Sie können ein Online-Tool oder ein Befehlszeilenprogramm wie OpenSSL verwenden, um zu prüfen, ob der Server OCSP-Stapling standardmäßig aktiviert hat. Die genauen Schritte hierfür hängen von der Art des Servers ab, den Sie verwenden. Im nächsten Abschnitt finden Sie Anweisungen, wie Sie den OCSP-Stapling-Status überprüfen und unter Windows, Apache und Nginix aktivieren können.

Wie kann ich OCSP Stapling aktivieren?

Im Folgenden finden Sie Anleitungen zur Aktivierung von OCSP Stapling auf den beliebten Windows-, Apache- und Nginx-Servern.

OCSP-Heftung unter Windows aktivieren

OCSP-Stapling ist unter Windows Server 2008 und späteren Versionen standardmäßig aktiviert. Wenn Sie eine frühere Version von Windows Server verwenden, ist die Aktivierung von OCSP Stapling nicht möglich. Bitte aktualisieren Sie auf Windows 2008 oder höher.

OCSP-Stapling auf Apache aktivieren

Apache unterstützt OCSP Stapling ab Apache HTTPD Web Server 2.3.3+. Wenn Sie nicht wissen, welche Version Sie benutzen, verwenden Sie die folgenden Befehle:

apache2 -v
httpd -v

Prüfen Sie dann, ob OCSP aktiviert ist. Folgen Sie den nachstehenden Schritten:

  1. Geben Sie in OpenSSL den folgenden Befehl ein:

    openssl.exe s_client -connect [yourdomain .com]:443 -status

    Wenn OCSP aktiviert ist, erhalten Sie die folgende Antwort im Abschnitt OCSP-Antwortdaten: “OCSP-Antwortstatus: erfolgreich (0x0)”. Wenn OCSP nicht aktiviert ist, werden keine OCSP-Antwortdaten angezeigt. Stellen Sie in diesem Fall sicher, dass Ihr Zwischenzertifikat korrekt installiert ist.
  2. Überprüfen Sie, ob Ihr Apache-Server erfolgreich eine Verbindung zum OCSP-Server hergestellt hat. Führen Sie den folgenden Befehl aus:

    curl ocsp.digicert.com/ping.html
  3. Um OCSP Stapling zu aktivieren, müssen Sie die Konfigurationsdatei des virtuellen Hosts für Ihre Website (ihre-domain.com-ssl.conf) mit einem Editor Ihrer Wahl bearbeiten. Die Konfigurationsdatei befindet sich normalerweise in folgendem Verzeichnis: etc/apache2/sites-available/ihre-domain.com-ssl.conf
  4. Open the file and make the following changes:
    • Fügen Sie die folgenden Zeilen innerhalb der Tags <VirtualHost> hinzu:

      SSLUseStapling ein
      SSLStaplingResponderTimeout 5
      SSLStaplingReturnResponderErrors aus
    • Fügen Sie innerhalb der Tags eine Zeile hinzu, die auf eine vertrauenswürdige Zertifikatskettendatei verweist. Diese muss die Zwischen- und Stammzertifikate in der richtigen Reihenfolge enthalten:

      SSLCACertificateFile /etc/apache2/ssl/full_chain.pem
    • Fügen Sie die folgende Zeile außerhalb der Tags <VirtualHost> hinzu:

      SSLStaplingCache shmcb:/var/run/ocsp(128000)
  5. Testen Sie Ihre Konfiguration:

    apachectl -t
  6. Starten Sie den Apache-Server neu

    apachectl-Neustart

Aktivieren von OCSP-Stapling auf NGINX

OCSP-Stapling ist ab NGINX 13,7 verfügbar. Überprüfen Sie die Version Ihres NGINX-Webservers:
nginx-v

Verwenden Sie die folgenden OpenSSL OCSP Stapling-Befehlszeilen:

  1. Prüfen Sie, ob OCSP-Heftung aktiviert ist. Führen Sie in OpenSSL den folgenden Befehl aus:

    openssl s_client -connect [yourdomain .com]:443 -status
  2. Wenn OCSP aktiviert ist, sollte im Abschnitt OCSP-Antwortdaten stehen: OCSP-Antwortstatus: erfolgreich (0x0)
  3. Wenn sie nicht aktiviert ist, werden keine OCSP-Antwortdaten angezeigt. Wenn Sie keine Bestätigung erhalten, dass OCSP aktiviert ist, verwenden Sie diese Anleitung zur Fehlerbehebung.
  4. Um OCSP-Stapling zu aktivieren, bearbeiten Sie zunächst die Serverblock-Konfigurationsdatei für Ihre Site (oder nginx.conf, wenn keine Serverblöcke verwendet werden):

    nano /etc/nginx/sites-enabled/meine-domäne.de-ssl.conf

    oder

    nano /etc/nginx/nginx.conf

    Hinweis: Wenn Sie OCSP-Heftung nur auf einem Serverblock aktivieren müssen, muss es sich um den “default_server” handeln. Wenn Sie ihn auf mehreren Serverblöcken aktivieren müssen, muss er zuerst auf dem “default_server” aktiviert werden. Dann kann er auf jedem anderen Serverblock aktiviert werden.
  5. Aktivieren Sie OCSP Stapling und ermöglichen Sie dem Server, OCSP Stapling zu prüfen, indem Sie zwei Zeilen in den Serverblock einfügen:

    ssl_stapling ein;
    ssl_stapling_verify ein;
  6. Geben Sie eine vertrauenswürdige Zertifikatskettendatei an, die die Zwischen- und Stammzertifikate in dieser Reihenfolge enthält:

    ssl_vertrauenswürdiges_Zertifikat /etc/nginx/ssl/full_chain.pem
  7. Überprüfen Sie Ihre Konfiguration:

    sudo service nginx configtest
  8. Starten Sie NGINX neu:

    sudo service nginx reload

Schlussfolgerung

OCSP Stapling ist eine weitere nützliche Ergänzung der immer länger werdenden Liste von SSL/TLS-Erweiterungen. So wie sich das Web entwickelt, so entwickelt sich auch die Technologie zur Verwaltung von Zertifikaten. Durch die Aufnahme einer digital signierten Antwort in den ersten Handshake vermeidet der Server, dass die Clients den OCSP-Responder der CA abfragen müssen, was die Latenzzeit und potenzielle Datenschutzprobleme verringert.

Sparen Sie 10% auf SSL-Zertifikate, wenn Sie noch heute bestellen!

Schnelle Ausstellung, starke Verschlüsselung, 99,99% Browser-Vertrauen, engagierter Support und 25-tägige Geld-zurück-Garantie. Gutscheincode: SAVE10

Jetzt 10 % sparen!
Geschrieben von

Erfahrener Content-Autor, spezialisiert auf SSL-Zertifikate. Verwandeln Sie komplexe Cybersicherheitsthemen in klare, ansprechende Inhalte. Tragen Sie durch wirkungsvolle Narrative zur Verbesserung der digitalen Sicherheit bei.

Verwandte Beiträge
Check a Certificate with OpenSSL
Wie prüft man ein Zertifikat mit OpenSSL-Befehlen unter Linux?
Was ist OpenSSL? Wie funktioniert OpenSSL?
What Is Port 443
Port 443 erklärt: Was ist das und warum sollte man es verwenden?
Port 443 vs 80
Port 443 vs. 80: Wie unterscheiden sie sich?
Perfect Forward Secrecy
Was ist PFS in der Cybersicherheit? Perfektes Vorwärtsgeheimnis erklärt