Kleckerbox – OCSP

📖

Was ist OCSP?

Online Certificate Status Protocol – RFC 6960

OCSP (Online Certificate Status Protocol) ist ein Internet-Protokoll zur Echtzeit-Prüfung, ob ein X.509-Zertifikat noch gültig oder widerrufen wurde. Im Gegensatz zur CRL muss keine komplette Liste heruntergeladen werden – stattdessen wird gezielt nach einem einzelnen Zertifikat angefragt. Der Responder antwortet mit good, revoked oder unknown.

Client sendet OCSP-Request

Der TLS-Client extrahiert die Seriennummer und die OCSP-URL aus der AIA-Extension des Zertifikats und sendet eine HTTP-POST-Anfrage an den Responder.

Responder prüft CA-Datenbank

Der OCSP-Responder schlägt die Seriennummer in der CA-Datenbank nach und ermittelt den aktuellen Widerrufsstatus.

Signierte Antwort

Die Antwort wird kryptografisch von der CA oder einem delegierten OCSP-Signer signiert und enthält Zeitstempel (thisUpdate, nextUpdate).

Verbindung zugelassen oder geblockt

Bei good → Verbindung wird aufgebaut. Bei revoked wird die Verbindung abgebrochen oder eine Warnung angezeigt.

🔄

Protokollablauf

Vereinfachte Darstellung einer OCSP-Prüfung

🖥

TLS-Client

Browser/App

→

OCSP-Request
(HTTP POST)

🌐

OCSP-Responder

:8080

→

DB-Lookup
Seriennummer

🗄

CA-Datenbank

Widerrufsstatus

←

good/revoked
/unknown

✍

Signierte
OCSP-Response

DER-kodiert

←

HTTP 200
ocsp-response

🔒

TLS-Handshake

ok/geblockt

⚖

OCSP vs. CRL

Wann welches Verfahren sinnvoll ist

🛡 OCSP Echtzeit

Aktueller Status in Echtzeit

Kein Download der gesamten Liste

OCSP Stapling reduziert Latenz

Erfordert Verbindung zum Responder

Privacy: CA sieht abgefragte Zertifikate

📋 CRL Offline-Liste

Offline nutzbar nach einmaligem Download

Kein externer Dienst notwendig

Keine Privacy-Bedenken nach Download

Kann veraltet sein bis zum nächsten Update

Liste wächst mit jedem Widerruf

🔍

Zertifikat live prüfen

OCSP-Anfrage direkt über ocsp.kleckerbox.link:8080

Zertifikat (PEM)

Das zu prüfende Zertifikat – vollständig mit -----BEGIN CERTIFICATE-----

Aussteller-Zertifikat / CA (PEM)

Zertifikat der ausstellenden CA. Wird für den OCSP-Request benötigt (Issuer-Hash).

Responder: http://ocsp.kleckerbox.link:8080

💻

openssl CLI-Befehle

OCSP-Prüfungen auf der Kommandozeile

OCSP-Anfrage senden

openssl ocsp -issuer issuer.crt -cert mycert.pem -url http://ocsp.kleckerbox.link:8080 -resp_text

OCSP-URL aus Zertifikat

openssl x509 -in mycert.pem -noout -text | grep -A3 "Authority Information"

OCSP-Response speichern

openssl ocsp -issuer issuer.crt -cert mycert.pem -url http://ocsp.kleckerbox.link:8080 -respout resp.der

Gespeicherte Response prüfen

openssl ocsp -respin resp.der -issuer issuer.crt -cert mycert.pem -resp_text

Seriennummer aus Zertifikat

openssl x509 -in mycert.pem -noout -serial

OCSP Stapling testen

openssl s_client -connect example.com:443 -status 2>&1 | grep -A20 "OCSP"

📌

OCSP Stapling

Performantere Alternative zur direkten Abfrage

Beim OCSP Stapling holt der Webserver selbst regelmäßig eine OCSP-Antwort vom Responder und hängt sie direkt an den TLS-Handshake. Der Client muss den Responder nicht mehr selbst kontaktieren – das reduziert Latenz und schützt die Privacy.

Apache: SSLUseStapling on · SSLStaplingCache shmcb:/tmp/stapling(32768)
nginx: ssl_stapling on; ssl_stapling_verify on; resolver 8.8.8.8;