Abo
  • Services:
Anzeige
HTTPS-Verbindung in Firefox - künftig mit OCSP Stapling
HTTPS-Verbindung in Firefox - künftig mit OCSP Stapling (Bild: Mozilla)

Firefox: Mitgelieferte Gültigkeitsprüfung für Zertifikate

Beim Aufbau von TLS-Verbindungen kann Firefox künftig Informationen über die Gültigkeit eines Zertifikats mitliefern. Das sogenannte OCSP Stapling wird damit von allen großen Browsern unterstützt, aber bei den Servern gibt es noch Probleme.

Anzeige

Zur korrekten Überprüfung eines Zertifikats beim Aufbau einer TLS-Verbindung gehört es üblicherweise, dass auch bei der Zertifizierungsstelle verifiziert wird, ob das X.509-Zertifikat von dieser zurückgezogen wurde. Die Zertifizierungsstellen ziehen Zertifikate zurück, wenn ihnen durch den Besitzer mitgeteilt wurde, dass der private Schlüssel eines Zertifikats möglicherweise in die Hände von Angreifern gelangt ist.

Doch die bisherigen Verfahren - CRL (Certificate Revocation List) und OCSP (Online Certificate Status Protocol) - haben zahlreiche Probleme und werden daher nur noch selten eingesetzt. Mit OCSP Stapling könnte Abhilfe geschaffen werden. Die Grundidee ist, dass bereits beim Aufbau einer SSL-Verbindung die Gültigkeitsinformationen für ein Zertifikat mitgeliefert werden.

Mozilla ist spät dran

Wie auf dem Entwicklerblog von Mozilla zu lesen ist, werden künftige Versionen von Firefox OCSP Stapling unterstützen, in den aktuellen Nightly-Builds ist es bereits aktiviert. Damit ist Firefox vergleichsweise spät dran, der Internet Explorer, Chrome und Opera unterstützen OCSP Stapling bereits, lediglich Safari fehlt noch in der Liste der bekannten Browser.

Das erste Konzept zur Überprüfung der Gültigkeit von Zertifikaten waren sogenannte Certificate Revocation Lists (CRLs). Zertifizierungsstellen hielten eine Liste von für ungültig erklärten Zertifikaten vor. Naheliegenderweise hatte dieses Konzept schnell ein Problem: Die Listen wurden zu groß, eine Überprüfung der Listen durch den Browser war nicht mehr realistisch.

Problematische OCSP-Server

Abhilfe sollte das Protokoll OCSP schaffen. Hierbei schickt der Browser eine Anfrage zu jedem Zertifikat, das überprüft werden soll, und erhält eine unterschriebene Antwort der Zertifizierungsstelle. Problem dabei: Theoretisch müssten Browser, wenn sie keine Antwort erhalten, das Zertifikat für ungültig erklären.

In der Praxis geschieht dies aber nicht, denn es würde häufig zu Fehlverbindungen kommen, wenn die OCSP-Server einer Zertifizierungsstelle gerade nicht erreichbar sind. Ein Angreifer, der ein für ungültig erklärtes Zertifikat besitzt, kann somit die Verbindung zum OCSP-Server der Zertifizierungsstelle stören und verhindern, dass die Gültigkeit eines Zertifikats überprüft wird.

Ein weiteres Problem von OCSP ist der Datenschutz. Die Zertifizierungsstellen erhalten aufgrund der Anfragen durch die Browser umfangreiche Informationen darüber, wer auf welchen HTTPS-Seiten unterwegs ist. Aufgrund der zahlreichen Probleme von OCSP sind einige Browserhersteller inzwischen dazu übergegangen, OCSP einfach abzuschalten.

Abfrage per Webserver

OCSP Stapling geht nun einen anderen Weg. Hier fragt nicht der Browser die Gültigkeit eines Zertifikats ab, sondern der Webserver. Die Antwort des OCSP-Servers ist für einen begrenzten Zeitraum, etwa einige Stunden, gültig und wird beim Aufbau einer TLS-Verbindung mitgesendet.

Somit müssen der Webserver und der Browser OCSP Stapling unterstützen. Laut einer Erhebung der Webseite Netcraft sind es vor allem Microsofts IIS-Server, die OCSP Stapling bereits unterstützen. Apache liefert die Funktion ebenfalls ab der Version 2.4 mit, sie muss jedoch manuell aktiviert werden. Nginx unterstützt seit Version 1.4.0 ebenfalls OCSP Stapling.

Ob ein HTTPS-Server OCSP Stapling unterstützt, kann mit dem SSL-Test der Firma Qualys online überprüft werden.


eye home zur Startseite
Spaghetticode 31. Jul 2013

Ich habe diese Option schon seit einiger Zeit in meinen Fireföxen aktiviert. Zu...



Anzeige

Stellenmarkt
  1. viastore SYSTEMS GmbH, Stuttgart oder Löhne
  2. über Robert Half Technology, Göppingen
  3. vwd TransactionSolutions AG, Frankfurt am Main
  4. SCHOTT AG, Mitterteich


Anzeige
Hardware-Angebote
  1. (u. a. Asus GTX 1070 Strix OC, MSI GTX 1070 Gaming X 8G und Aero 8G OC)
  2. und Gears of War 4 gratis erhalten
  3. 99,00€ (Amazon)

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Sicherheitskonzeption für das App-getriebene Geschäft
  2. Potenzialanalyse für eine effiziente DMS- und ECM-Strategie
  3. Globale SAP-Anwendungsunterstützung durch Outsourcing


  1. Microsoft

    Besucher können die Hololens im Kennedy Space Center nutzen

  2. MacOS 10.12

    Fujitsu warnt vor der Nutzung von Scansnap unter Sierra

  3. IOS 10.0.2

    Apple beseitigt Ausfälle der Lightning-Audio-Kontrollen

  4. Galaxy Note 7

    Samsung tauscht das Smartphone vor der Haustür aus

  5. Falcon-9-Explosion

    SpaceX grenzt Explosionsursache ein

  6. Die Woche im Video

    Schneewittchen und das iPhone 7

  7. 950 Euro

    Abmahnwelle zu Pornofilm-Filesharing von Betrügern

  8. Jailbreak

    19-Jähriger will iPhone-7-Exploit für sich behalten

  9. Alle drei Netze

    Ericsson und Icomera bauen besseres Bahn-WLAN

  10. Oculus Rift

    Palmer Luckey im Netz als Trump-Unterstützer geoutet



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Oliver Stones Film Snowden: Schneewittchen und die nationale Sicherheit
Oliver Stones Film Snowden
Schneewittchen und die nationale Sicherheit
  1. US-Experten im Bundestag Gegen Überwachung helfen keine Gesetze
  2. Neues BND-Gesetz Eco warnt vor unkontrolliertem Zugriff auf deutschen Traffic
  3. Datenschützerin Voßhoff Geheimbericht wirft BND schwere Gesetzesverstöße vor

Fitbit Charge 2 im Test: Fitness mit Herzschlag und Klopfgehäuse
Fitbit Charge 2 im Test
Fitness mit Herzschlag und Klopfgehäuse
  1. Fitbit Ausatmen mit dem Charge 2
  2. Polar M600 Sechs LEDs für eine Pulsmessung
  3. Xiaomi Mi Band 2 im Hands on Fitness-Preisbrecher mit Hack-App

Osmo Mobile im Test: Hollywood fürs Smartphone
Osmo Mobile im Test
Hollywood fürs Smartphone
  1. Osmo Mobile DJI präsentiert Gimbal fürs Smartphone
  2. Hasselblad DJI hebt mit 50-Megapixel-Luftbildkamera ab
  3. DJI Flugverbotszonen in Drohnensoftware lassen sich ausschalten

  1. Re: [Hier Beleidigung einfügen]

    grslbr | 05:35

  2. Re: Wow...

    DerVorhangZuUnd... | 05:11

  3. Re: Hübsches kleines Ding

    Mixer | 04:03

  4. Re: Ja und???

    emuuu | 01:17

  5. Re: Performance auf alten Rechner

    Eierspeise | 00:55


  1. 12:51

  2. 11:50

  3. 11:30

  4. 11:13

  5. 11:03

  6. 09:00

  7. 18:52

  8. 17:54


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel