Domainzertifikate: ist OSCP Stapling besser?

8. Juni 2017 | Von | Kategorie: Domain News, Domain Sicherheit

SSL-Widerrufs-Konzept OCSP: Mozilla probt Ausstieg

Wer Zertifikate vergibt, muss sie auch sperren können. Dafür gibt es den aktuellen
Widerrufs-Mechanismus TLS, der die https Zertifikate sozusagen „ent-zertifizieren“
kann. Die Browser der Anwender erfahren von den Herausgebern über die Sperrung
durch das Online Certificate Status Protocol (OCSP). Diese Funktion erfragt beim
Herausgeber des Zertifikats, ob dieses für eine entsprechende Seite noch gültig und
intakt ist.

Doch der OSCP Mechanismus ist defekt, da die dafür vorgesehene Infrastruktur nicht
funktioniert. Das lag in der Verantwortung der Zertifikatsgeber, die diese Infrastruktur
aber niemals entsprechend ausgebaut haben. Also zeigen sich bei der Nutzung der
Protokolle mehrere Nachteile, wie z.B. erhebliche Zeitverzögerungen beim Laden.

Teilweise sind die OSCP Server über längere Strecken gar nicht erreichbar.
Ein großes Problem ist auch die Sicherheit. Wenn der Browser keine Antwort von
OSCP bekommt, zeigt er keinerlei Warnung an, sondern arbeitet weiter.
Fehlermeldungen würden aber den Browser überfluten. Das Fehlen der Warnung
könnten Hacker allerdings jederzeit ausnutzen, deshalb stellen die fehlerhaften
Protokolle eine Sicherheitslücke dar. Zudem ist der Datenschutz nicht gewährleistet,
da die Zertifikatsgeber anhand der Abfragen sehen können, welche Zertifikate
überprüft werden sollen und welche Domains daran gebunden sind. Es ist ebenfalls
ersichtlich, welche Webseiten die Anwender aufrufen.

Google hat die weitere Nutzung von OCSP schon seit längerer Zeit abgelehnt und
nun überlegen auch die Verantwortlichen bei Mozilla, aus diesem Widerrufs-Konzept
auszusteigen.

OSCP Stapling als Alternative
Das neue Konzept, das sowohl Google als auch Mozilla favorisieren, heißt OSCP
Stapling. Dabei handelt es sich um eine Art zentrale Bündelung der Abfragen beim
Zertifikatsgeber, die nur einmal pro Tag stattfindet. Dann würden die gültigen
Zertifikate zusammen mit der Zertifikats-Erweiterung „Must staple“ (RFC 7633)
ausgegeben werden, was die Großen Browser als sicherer und schneller einstufen,
als einfaches OSCP. Leider fehlen für das neue System noch die allgemeine
Akzeptanz der Anwender und wichtige Implementierungen.

 

 

Schreibe einen Kommentar