Online Certificate Status Protocol

Das Online Certificate Status Protocol (OCSP) ist ein Netzwerkprotokoll, das es Clients ermöglicht, den Status von X.509-Zertifikaten bei einem Validierungsdienst abzufragen. Es ist im RFC 6960 beschrieben und ein Internetstandard.

Benötigt wird dies z. B. bei:

• der Prüfung digitaler Signaturen
• der Authentisierung in Kommunikationsprotokollen (z. B. bei TLS)
• der Verschlüsselung von E-Mails,

um jeweils zu überprüfen, ob die verwendeten Zertifikate evtl. gesperrt und damit bereits vor Ende ihres regulären Gültigkeitszeitraums ungültig wurden.

Funktionsweise

Mittels OCSP kann der Status eines Zertifikats durch Anfrage bei einem Server (ein so genannter OCSP-Responder) abgefragt werden. Dieser OCSP-Responder wird in der Regel vom Herausgeber des Zertifikats betrieben und liefert als Antwort „good“ (d. h. das Zertifikat ist nicht gesperrt), „revoked“ (Zertifikat ist gesperrt) oder „unknown“ (der Status konnte nicht ermittelt werden, etwa weil der Herausgeber des Zertifikats dem Responder nicht bekannt ist). Des Weiteren besteht die Möglichkeit, dass der OCSP-Responder sogenannte Positivauskünfte („Zertifikat ist authentisch und gültig“) erteilt. Dabei wird der Antwort ein Hash-Wert des Zertifikats mitgegeben, wenn das Zertifikat tatsächlich existiert. Die Erteilung von Positivauskünften ist im OCSP-Standard RFC 2560 allerdings nicht vorgesehen, so dass ihre korrekte Auswertung ein vom Standard abweichendes Verhalten der OCSP-Clients erfordert. In Deutschland ist die Erteilung von Positivauskünften für qualifizierte Zertifikate vom Signaturgesetz gefordert.