Inhaltsverzeichnis:
- Definition - Was bedeutet Online Certificate Status Protocol Stapling (OCSP-Heftung)?
- Techopedia erklärt das Online Certificate Status Protocol Stapling (OCSP-Heften)
Definition - Was bedeutet Online Certificate Status Protocol Stapling (OCSP-Heftung)?
Online-Protokollheftung für den Zertifikatstatus (OCSP-Heftung; formal TLS Certificate Status Request Extension) ist eine Erweiterung des Standard-OCSP-Protokolls, von der Endbenutzer wie Webserveradministratoren, Anwendungsentwickler und Browserentwickler bei der Prüfung digitaler Zertifikate oder Zertifikate mit öffentlichem Schlüssel profitieren, Status als Alternative zu OCSP.
Durch das Heften werden OCSP-Antworten vom Server übermittelt, der das Zertifikat bereitstellt, und es müssen keine Endparteien oder Benutzer mehr die Antworten bei der ausstellenden Zertifizierungsstelle (CA) überprüfen. Durch die Verwendung der OCSP-Heftung kann der Inhaber eines digitalen Zertifikats die Verantwortung für die Ressourcenkosten bei der Bereitstellung von OCSP-Antworten als Ersatz für die Ausstellung der Zertifizierungsstelle übernehmen.
Techopedia erklärt das Online Certificate Status Protocol Stapling (OCSP-Heften)
Wenn ein TLS-Client (Browser) eine SSL-Verbindung erstellt, überprüft er zuerst die Legitimität des digitalen Zertifikats, das der Server besitzt. Dieser Überprüfungsprozess wird von der Zertifizierungsstelle mithilfe eines OCSP-Servers verwaltet, den der Browser abfragt. Der Prozess bietet nur ein akzeptables Sicherheitsniveau. Es gibt jedoch nach wie vor bestimmte Probleme, z. B. die Notwendigkeit, eine Form der Kommunikation mit der Zertifizierungsstelle zu ermöglichen, was je nach Organisationsstruktur nicht immer möglich ist. Um dies zu verhindern, kann der TLS-Server durch OCSP-Heftung als Vermittler fungieren und während der Verbindung eine OCSP-Bestätigung seiner Gültigkeit bereitstellen.
Beim OCSP-Heften überprüft der Inhaber des Zertifikats regelmäßig den OCSP-Server und erhält bei jeder Abfrage eine signierte OCSP-Antwort mit Zeitstempel. Wenn ein Browser eine Verbindung zu einer Site herstellt, die eine Erweiterung für eine Zertifikatstatusanforderung mit der Handshake-Nachricht enthält, wird die OCSP-Antwort geheftet oder in die TLS / SSL-Antwort vom Server einbezogen. Durch das Heften der OCSP-Antwort werden die Ressourcenkosten angepasst, indem eine OCSP-Antwort von der Zertifizierungsstelle gesendet wird, anstatt jedes Mal, wenn der Sperrstatus des Zertifikats in vordefinierten Intervallen ermittelt werden soll, eine Verbindung zwischen jedem Client und dem OCSP-Responder herzustellen.
