Was ist Online Certificate Status Protocol Stapling (OCSP Stapling)?
Das Online-Protokollieren des Zertifikatsstatus (OCSP-Stapling; formal TLS Certificate Status Request-Erweiterung) ist eine Erweiterung des Standard-OCSP-Protokolls, die Endbenutzern wie Webserver-Administratoren, Anwendungsentwicklern und Browser-Entwicklern zum Überprüfen von digitalen Zertifikaten oder öffentlichen Schlüsselzertifikaten zugute kommt , Status als Alternative zu OCSP.
Heften liefert OCSP-Antworten von dem Server, der das Zertifikat gibt, und beseitigt die Notwendigkeit von Endparteien oder Benutzern, die Antworten mit der ausstellenden Zertifizierungsstelle (CA) zu überprüfen. Durch OCSP-Heften kann der Inhaber eines digitalen Zertifikats die Verantwortung für Ressourcenkosten bei der Bereitstellung von OCSP-Antworten als Ersatz für die Ausstellung der Zertifizierungsstelle übernehmen.
Wenn ein TLS-Client (Browser) eine SSL-Verbindung erstellt, überprüft er zuerst die Legitimität des digitalen Zertifikats, das der Server besitzt. Dieser Überprüfungsprozess wird von der CA mithilfe eines OCSP-Servers verwaltet, den der Browser abfragt.
Der Prozess bietet nur ein akzeptables Sicherheitsniveau; Es gibt jedoch immer noch einige Probleme, wie beispielsweise die Möglichkeit, eine Form der Kommunikation mit der CA zu ermöglichen, was je nach Organisationsstruktur nicht immer möglich ist. Um dies zu verhindern, ermöglicht OCSP-Stapling dem TLS-Server, wie ein Vermittler zu agieren und eine OCSP-Bestätigung seiner Gültigkeit während der Verbindung bereitzustellen.
Beim OCSP-Heften verifiziert der Inhaber des Zertifikats regelmäßig mit dem OCSP-Server und erhält bei jeder Abfrage eine signierte zeitgestempelte OCSP-Antwort. Wenn ein Browser eine Verbindung zu einer Site herstellt, enthält er eine Certificate Status Request-Erweiterung mit seiner Handshake-Nachricht.
Die OCSP-Antwort wird dann geheftet oder in die TLS / SSL-Antwort vom Server aufgenommen. Das Stapeln der OCSP-Antwort passt die Ressourcenkosten an, indem eine OCSP-Antwort von der CA ausgegeben wird, anstatt jeden Client mit dem OCSP-Responder zu verbinden, jedes Mal wenn sie ihren Widerrufsstatus ihres Zertifikats in vordefinierten Intervallen ermitteln möchten.