- Validierungsdienst
-
Einer der gebräuchlichsten Validierungsdienste stellt die Überprüfung der Gültigkeit eines X.509 Zertifikats mittels einer sogenannten Zertifikatsperrliste (CRL) dar. Hierbei wird eine Liste von einer öffentlichen URL geladen und die Seriennummer des Zertifikats, das geprüft werden soll, in dieser Liste gesucht. Ist es vorhanden, ist das Zertifikat gesperrt, andernfalls ist es gültig.
Man unterscheidet zwischen CRLs Version 1 und Version 2. V.2 CRLs enthalten wesentlich mehr Informationen über ein gesperrtes Zertifikat, z. B. den Sperrgrund oder den Aussteller des Zertifikats.
OCSP - das Online Certificate Status Protocol - bietet, im Gegensatz zu einer CRL, die Möglichkeit, eine zeitnahe Statusüberprüfung zu machen. D. h. jede Statusänderung eines Zertifikats wird immer sofort im OCSP-Dienst veröffentlicht.
CRLs werden in der Regel in regelmäßigen Abständen aktualisiert, meist nur ein oder zwei Mal am Tag. D. h. es gibt hierbei eine relativ hohe Ungenauigkeit bei der Statusabfrage eines Zertifikats. Dafür können CRLs lokal zwischengespeichert werden und ermöglichen somit die Offline-Abfrage eines Zertifikatsstatus.
Kategorie:- Digitale Zertifikate
Wikimedia Foundation.