Zertifikatswiderrufsliste – Der vollständige Leitfaden

Zuletzt aktualisiert am von Dionisie Gitlan
Certificate Revocation List

Willkommen zum grundlegenden Leitfaden über Sperrlisten (Certificate Revocation Lists, CRLs), einem wichtigen Aspekt der Online-Sicherheit. Dieser Leitfaden durchbricht den Fachjargon und kommt direkt auf den Punkt.

Haben Sie sich jemals gefragt, was passiert, wenn ein digitales Zertifikat nicht mehr vertrauenswürdig ist? Betrachten Sie es als eine rote Fahne in der digitalen Welt, die auf potenzielle Risiken hinweist. Wir erklären Ihnen, was CRLs sind, was sie enthalten und warum Sie sich darum kümmern sollten.

Wir zeigen Ihnen anhand realer Beispiele von widerrufenen Zertifikaten, welche konkreten Folgen es hat, wenn Sie deren Bedeutung übersehen. Am Ende dieses Leitfadens werden Sie die Bedeutung regelmäßiger CRL-Prüfungen für die Aufrechterhaltung der Integrität von digitalen Zertifikaten verstanden haben.

Kein Schnickschnack, nur Fakten. Fangen wir gleich damit an. Was also ist CRL in der Cybersicherheit?

Inhaltsübersicht

  1. Was ist eine Zertifikatswiderrufsliste?
  2. Was ist der Zweck von Sperrlisten für Zertifikate?
  3. Was beinhaltet eine CRL?
  4. Wie funktioniert das CRL?
  5. So zeigen Sie den Status des Zertifikatswiderrufs an

Was ist eine Zertifikatswiderrufsliste?

Eine Zertifikatswiderrufsliste (Certificate Revocation List, CRL) ist im Wesentlichen eine schwarze Liste mit diskreditierten digitalen Zertifikaten. Diese von einer Zertifizierungsstelle (CA) geführte Liste enthält alle SSL-Zertifikate, die die CA vor ihrem geplanten Ablaufdatum widerrufen hat. Dieser Vorgang wird auch als PKI-Zertifikatssperrung bezeichnet.

Wenn Sie im Internet surfen, prüft Ihr Browser ständig diese Liste. Wenn er auf ein Zertifikat in der CRL stößt, vertraut er der Website oder dem Dienst, der mit diesem Zertifikat verbunden ist, nicht. Dies ist eine wichtige Sicherheitsmaßnahme, die die Integrität der Online-Datenübertragung gewährleistet.

Aber warum sollten CAs ein Zertifikat überhaupt widerrufen? Dafür kann es mehrere Gründe geben. Vielleicht wurde der private Schlüssel des Zertifikats kompromittiert, oder die Zertifizierungsstelle hat das Zertifikat irrtümlich ausgestellt. Unabhängig vom Grund ist ein Zertifikat nicht mehr vertrauenswürdig, sobald es in der CRL steht.

Um die Wirksamkeit dieser Sicherheitsmaßnahme zu gewährleisten, müssen die Zertifizierungsstellen die CRL regelmäßig aktualisieren und sie für die Systeme der Nutzer leicht zugänglich machen. Dies ist eine der Hauptaufgaben der Zertifizierungsstelle. Sie müssen auch einen Mechanismus bereitstellen, mit dem die Benutzer den Widerrufsstatus von Zertifikaten überprüfen können, in der Regel über einen Online-Dienst.

Was ist der Zweck von Sperrlisten für Zertifikate?

CRL ist ein Tool, das die Online-Sicherheit erhöht, indem es unsichere Zertifikate, die die Sicherheit eines Systems gefährden könnten, verwaltet und verfolgt. Es soll ein strenges Kontrollsystem bieten, das alle fragwürdigen Zertifikate kennzeichnet, um mögliche Cyberangriffe zu verhindern.

Wenn Sie die Rolle der CRL verstehen, können Sie Ihren digitalen Sicherheitsrahmen besser verwalten. Hier sind einige wichtige Punkte zu beachten:

  • CRLs enthalten Zertifikate, die nicht mehr gültig sind.
  • Regelmäßige Aktualisierungen der CRL sind notwendig, um den Überblick über ungültige Zertifikate zu behalten.
  • Die Verwendung von CRLs verringert das Risiko des Zertifikatsmissbrauchs.
  • Die Gewährleistung der Gültigkeit von SSL-Zertifikaten durch CRLs ist eine proaktive Sicherheitsmaßnahme.

Vorteile von CRL

Das GRL bietet mehrere wichtige Vorteile:

  • Sie verhindert unberechtigten Zugriff, indem sie kompromittierte Zertifikate sofort ungültig macht.
  • Es unterstützt das Online Certificate Status Protocol (OCSP), das den Status eines digitalen Zertifikats überprüft.
  • Es erhöht die allgemeine Cybersicherheit, indem es die Integrität der Zertifikate aufrechterhält.
  • Es mindert potenzielle Cyberrisiken, die mit kompromittierten oder abgelaufenen Zertifikaten verbunden sind.
  • Sie gewährleistet eine sichere und zuverlässige Online-Umgebung und fördert das Vertrauen.

Umgang mit unsicheren Zertifikaten

Bei der Verbesserung Ihrer Online-Sicherheit ist es wichtig, den Zweck der CRL bei der Verwaltung unsicherer Zertifikate zu verstehen.

Wie Sie bereits wissen, ist eine CRL eine Liste der von der ausstellenden Zertifizierungsstelle widerrufenen öffentlichen Schlüsselzertifikate vor Ablauf der Gültigkeit. Diese als nicht vertrauenswürdige Zertifikate bezeichneten Zertifikate werden aus verschiedenen Gründen für ungültig erklärt, z. B. wenn der private Schlüssel kompromittiert wurde oder wenn sie in betrügerischer Absicht signiert wurden. Sie stellen ein erhebliches Risiko für Ihre Online-Sicherheit dar.

Daher spielt das GRL eine wesentliche Rolle bei der Verringerung dieses Risikos. Es erleichtert die schnelle Identifizierung und Zurückweisung von nicht vertrauenswürdigen Zertifikaten und verhindert so den Zugriff Dritter und potenzielle Datenverletzungen.

Was beinhaltet eine CRL?

Eine CRL enthält wichtige Elemente wie den Namen der Zertifizierungsstelle, die Aktualisierungszeit der Liste und eine Liste der widerrufenen Zertifikate, jedes mit seiner eigenen eindeutigen Seriennummer und dem Widerrufsdatum.

  1. Versionsnummer: Gibt die Version des CRL-Formats an.
  2. Kennung des Signaturalgorithmus: Gibt den Algorithmus an, den die CA zum Signieren der CRL verwendet.
  3. Issuer: Bezeichnet die Entität (in der Regel eine Zertifizierungsstelle), die die CRL herausgegeben hat.
  4. Diese Aktualisierung: Gibt das Ausgabedatum der CRL an.
  5. Nächstes Update: Gibt an, wann die nächste CRL ausgegeben werden soll. Bis zu diesem Datum gilt die aktuelle CRL als gültig.
  6. Gesperrte Zertifikate: Enthält eine Liste digitaler Zertifikate, die die CA widerrufen hat. Jeder Eintrag enthält die Seriennummer, das Widerrufsdatum und manchmal einen Grund.
  7. Erweiterungen: Zusätzliche Informationen oder Funktionen, wie z. B. CRL-Verteilungspunkt, Kennung des Behördenschlüssels oder andere benutzerdefinierte Erweiterungen.

Die CRL wird von der Zertifizierungsstelle regelmäßig aktualisiert und verteilt, um sicherzustellen, dass vertrauende Parteien (Stellen, die die Zertifikate verwenden) innerhalb eines bestimmten Zeitrahmens auf die neuesten Informationen über widerrufene Zertifikate zugreifen können.

Wie funktioniert das CRL?

Schauen wir uns nun an, wie CRL funktioniert. Die CRLs werden an bestimmte Stellen verteilt und anschließend genauestens auf ihre Gültigkeit überprüft. Der Umgang mit widerrufenen Zertifikaten und die regelmäßige Aktualisierung der CRL sind entscheidende Schritte, um die Wirksamkeit und Sicherheit des Systems zu gewährleisten.

CRL-Vertriebsstellen

Die CRL-Verteilungsstellen sind ein zentraler Bestandteil der Funktionsweise von CRLs. Es handelt sich um Server, die CRLs speichern und verteilen. Sie dienen als Drehscheibe für die Verwaltung und Überprüfung des Status von digitalen Zertifikaten.

Die Verteilerstelle erhält von der CA Aktualisierungen zum Sperrstatus von Zertifikaten. Jedes Mal, wenn ein Zertifikat widerrufen wird, aktualisiert die CA den CRL-Verteilungspunkt.

Endgeräte, wie z. B. Browser, können die CRL-Verteilungsstelle abfragen, um den Widerrufsstatus eines Zertifikats zu überprüfen. Die Verteilungsstelle sendet die CRL an alle Stellen, die sie anfordern.

Prozess der Widerrufsprüfung

Während wir die Rolle der CRL-Verteilungsstellen im Auge behalten, wollen wir uns ansehen, wie der Prozess der Widerrufsprüfung bzw. die Funktionsweise der CRL tatsächlich funktioniert.

Bei der Zertifikatswiderrufsprüfung holt das System zunächst die CRL von einem festgelegten Verteilungspunkt ab. Diese Liste enthält alle Zertifikate, die vor ihrem Verfallsdatum widerrufen wurden.

Ihr System vergleicht dann das vorgelegte Zertifikat mit dieser Liste. Wenn das Zertifikat in der CRL gefunden wird, wird es als nicht vertrauenswürdig eingestuft und die Verbindung wird abgelehnt. Dieses Verfahren stellt sicher, dass widerrufene Zertifikate nicht fälschlicherweise als vertrauenswürdig eingestuft werden und die Sicherheit erhalten bleibt.

Es ist jedoch wichtig, dass die CRL auf dem neuesten Stand gehalten wird, da veraltete Informationen die Integrität des Prüfverfahrens beeinträchtigen können.

Umgang mit widerrufenen Zertifikaten

So funktioniert das CRL-Verfahren:

  • Die CA stellt Zertifikate aus und verwaltet auch die CRL.
  • Wenn ein Zertifikat kompromittiert wird, widerruft die CA es.
  • Die CA aktualisiert die CRL, um die Seriennummer der widerrufenen Zertifikate aufzunehmen.
  • Wenn ein Server das Zertifikat eines Clients erhält, prüft er die CRL.
  • Der Server lehnt die Verbindung ab, wenn das Zertifikat des Clients in der CRL enthalten ist.

Regelmäßige Aktualisierung der CRL

Der Herausgeber der CRL gibt regelmäßig Aktualisierungen heraus, um die Integrität und Zuverlässigkeit der Liste zu gewährleisten. Durch diese regelmäßige Aktualisierung wird das Risiko veralteter Informationen vermieden, die die Sicherheit Ihres Systems und Ihrer sensiblen Daten gefährden könnten.

Die Aktualisierung ist nicht nur eine manuelle Aufgabe. Vielmehr handelt es sich um ein komplexes, technisches Verfahren, das von spezifischen Protokollen bestimmt wird. Wenn eine CA ein Zertifikat widerruft, aktualisiert sie die CRL. Anschließend wird die CRL vom Aussteller digital signiert und an alle Stellen verteilt, die sich auf sie verlassen. Dieser Prozess muss korrekt ablaufen, da Fehler zu erheblichen Sicherheitslücken führen können.

So zeigen Sie den Status des Zertifikatswiderrufs an

Der Zugriff auf eine CRL hängt von der jeweiligen Zertifizierungsstelle ab, die die Zertifikate ausgestellt hat, für die Sie sich interessieren. CRLs werden in der Regel von den CAs an bestimmten, in den Zertifikaten angegebenen Verteilungspunkten zur Verfügung gestellt.

Um den CRL-Verteilungspunkt zu finden, können Sie das Zertifikat selbst untersuchen. Hier finden Sie einen allgemeinen Leitfaden für die Überprüfung des Zertifikatswiderrufsstatus:

Über die Zertifikatsdetails in Ihrem Browser

Wenn Sie die Zertifikatsdatei haben, können Sie sie in der Regel mit einem Zertifikatsbetrachter oder einer Anwendung öffnen, die die Zertifikatsprüfung unterstützt.

  1. Klicken Sie auf das Vorhängeschloss-Symbol neben der URL.
  2. Klicken Sie auf Verbindung ist sicher und dann auf Zertifikat ist gültig.
  3. Suchen Sie nach der Erweiterung CRL Distribution Points (CDP).
  4. Die CDP-Erweiterung enthält eine oder mehrere URLs, die auf die Orte verweisen, an denen die CRLs veröffentlicht werden.
  5. Öffnen Sie die Registerkarte Details , und blättern Sie unter den Zertifikatsfeldern nach unten zu Erweiterung.
  6. Klicken Sie auf die CRL-Verteilungspunkte.
  7. Kopieren Sie im Feld Wert die URL und fügen Sie sie in die Adressleiste ein.
  8. Der Browser wird die CRL-Datei herunterladen. Öffnen Sie es, um die Informationen aus der Sperrliste zu sehen.
CRL-Ansicht in Chrome

Über OpenSSL

Hier ein Beispiel dafür, wie Sie OpenSSL zum Abrufen einer CRL verwenden können:

openssl crl -inform DER -in exampleca.crl -text

Ersetzen Sie exampleca.crl durch den tatsächlichen Dateinamen oder die URL der CRL, die Sie prüfen möchten.

Beachten Sie, dass einige Zertifizierungsstellen CRLs über andere Mechanismen bereitstellen können, z. B. über LDAP (Lightweight Directory Access Protocol) oder andere Protokolle. Darüber hinaus bieten einige CAs OCSP-Dienste (Online Certificate Status Protocol) als Alternative zu CRLs an.

Wenn Sie mit einer bestimmten Zertifizierungsstelle arbeiten, finden Sie in deren Dokumentation oder auf deren Website Informationen darüber, wie Sie auf deren CRL-Dateien zugreifen können. Wenn Sie nur nach Beispielen suchen, stellen einige Zertifizierungsstellen Muster oder öffentlich zugängliche CRLs zu Testzwecken zur Verfügung, aber seien Sie vorsichtig und beachten Sie die mit solchen Ressourcen verbundenen Nutzungsbedingungen.

FAQ

Wo finde ich die Zertifikatswiderrufsliste?

Um eine Zertifikatsprüfung durchzuführen, stellt der Client eine Verbindung zu den von der Zertifizierungsstelle angegebenen URLs her, um Zertifikatsperrlisten herunterzuladen. Diese Listen enthalten Informationen über gesperrte Zertifikate. Sie finden die CRL-URLs in den Details des SSL-Zertifikats unter Zertifikatserweiterungen, insbesondere im Abschnitt CRL-Verteilungspunkte.

Wie erstelle ich eine Zertifikatswiderrufsliste?

Um eine CRL zu erstellen, verwenden Sie ein CA-Tool oder eine CA-Software, um die Liste zu generieren, einschließlich Details zu widerrufenen Zertifikaten, und verteilen die CRL dann an Einrichtungen, die sich für die Zertifikatsvalidierung in einem PKI-System (Public Key Infrastructure ) auf sie verlassen.

Wie kann ich die Zertifikatswiderrufsliste in Windows anzeigen?

Unter Windows können Sie die Zertifikatswiderrufsliste (CRL) anzeigen, indem Sie den Zertifikatsmanager über den Befehl “certmgr.msc” öffnen, zum Ordner “Sperrlisten” navigieren und dann die gewünschte CRL auswählen, um deren Details anzuzeigen. Alternativ können Sie den Befehl “certutil” in der Eingabeaufforderung mit der Option “-urlcache” gefolgt von der CRL-URL verwenden, um Informationen über die CRL anzuzeigen.

Was ist der Unterschied zwischen CRL und OCSP?

Beide Methoden werden in der Cybersicherheit verwendet, um zu prüfen, ob ein digitales Zertifikat, wie es in HTTPS verwendet wird, noch gültig ist. Der Hauptunterschied liegt in der Art und Weise, wie sie diese Informationen bereitstellen: CRL verwendet eine regelmäßig aktualisierte Liste gesperrter Zertifikate, während OCSP eine Zertifizierungsstelle direkt und in Echtzeit abfragt, um den Status eines Zertifikats zu bestätigen.

Wer prüft den Zertifikatswiderrufsstatus?

Die Verantwortung für die Überprüfung des Zertifikatswiderrufsstatus liegt beim Client (Browser). Es ist die Aufgabe des Browsers, vor dem Verbindungsaufbau zu überprüfen, ob ein Zertifikat widerrufen wurde.

Was geschieht mit einem widerrufenen Zertifikat?

Wenn ein Zertifikat widerrufen wird, bedeutet dies, dass es nicht mehr als gültig angesehen wird. Vertrauenswürdige Parteien, wie z. B. Browser, lehnen folglich Verbindungen auf der Grundlage dieses Zertifikats ab, wodurch die Sicherheit erhöht und potenzielle Risiken gemindert werden.

Schlussfolgerung

Zusammenfassend lässt sich sagen, dass eine Zertifikatswiderrufsliste dazu beiträgt, die Sicherheit der digitalen Kommunikation aufrechtzuerhalten, indem kompromittierte oder widerrufene Zertifikate umgehend ungültig gemacht werden. Seine wirksame Umsetzung gewährleistet die Integrität und Vertrauenswürdigkeit von Online-Transaktionen und -Kommunikation. Da sich die Technologie weiterentwickelt, ist eine kontinuierliche Verbesserung der CRL in den Cybersicherheitsmechanismen nach wie vor unerlässlich, um die Robustheit des digitalen Sicherheitsrahmens zu gewährleisten.

Sparen Sie 10% auf SSL-Zertifikate, wenn Sie noch heute bestellen!

Schnelle Ausstellung, starke Verschlüsselung, 99,99% Browser-Vertrauen, engagierter Support und 25-tägige Geld-zurück-Garantie. Gutscheincode: SAVE10

Jetzt 10 % sparen!
Geschrieben von

Erfahrener Content-Autor, spezialisiert auf SSL-Zertifikate. Verwandeln Sie komplexe Cybersicherheitsthemen in klare, ansprechende Inhalte. Tragen Sie durch wirkungsvolle Narrative zur Verbesserung der digitalen Sicherheit bei.

Verwandte Beiträge
What Is a CA Bundle
Was ist ein CA-Bündel in SSL und wie wird es erstellt?
Root and Intermediate Certificates
Root- und Zwischenzertifikate – Was ist der Unterschied?
Certificate Authority
Was ist eine Zertifizierungsstelle und wie funktionieren CAs?
What Is a CAA Record
Was ist ein CAA-Datensatz und wie funktioniert er?
SSL Warranty
Was ist eine SSL-Zertifikatsgarantie und wie funktioniert sie?