Abo
  • Services:
Anzeige
OCSP-Prüfung zur Zeit nicht möglich - Zertifikate von Schweizer Behörden
OCSP-Prüfung zur Zeit nicht möglich - Zertifikate von Schweizer Behörden (Bild: Screenshot / Qualys SSL-Test)

TLS-Zertifikate: Schweizer OCSP-Server ist offline

OCSP-Prüfung zur Zeit nicht möglich - Zertifikate von Schweizer Behörden
OCSP-Prüfung zur Zeit nicht möglich - Zertifikate von Schweizer Behörden (Bild: Screenshot / Qualys SSL-Test)

Das Schweizer Bundesamt für Informatik und Telekommunikation (BIT) betreibt eine eigene Zertifizierungsstelle für TLS-Zertifikate. Deren Server zur Überprüfung der Zertifikatsgültigkeit ist seit einiger Zeit offline.

Anzeige

Schweizer Behörden betreiben für die Ausstellung von TLS-Zertifikaten eine eigene Zertifizierungsstelle. Doch bei deren Betrieb scheint gerade nicht alles nach Plan zu laufen: Seit einiger Zeit ist der sogenannte OCSP-Server nicht mehr erreichbar. Eigentlich gehört zum Betrieb einer Zertifizierungsstelle ein permanent erreichbarer OCSP-Server, denn nur so ist eine Gültigkeitsprüfung der Zertifikate möglich.

Zertifizierungsstelle für Schweizer Behörden

Die Schweizer Zertifizierungsstelle wird vom Bundesamt für Informatik und Telekommunikation (BIT) betrieben, einer Bundesbehörde, die dem eidgenössischen Finanzdepartment unterstellt ist. Webseiten der Schweizer Verwaltung nutzen überwiegend diese Zertifikate, beispielsweise kann man die offizielle Webseite aller Schweizer Regierungsbehörden unter www.ch.ch mittels HTTPS und einem entsprechenden Zertifikat aufrufen. Die Zertifizierungsstelle des BIT wird von den gängigen Webbrowsern nicht direkt akzeptiert. Das Zertifikat der BIT selbst wurde jedoch als Zwischenzertifikat von Baltimore CyberTrust signiert, einer Zertifizierungsstelle, die von allen großen Browsern akzeptiert wird.

Am Freitag vergangener Woche berichtete ein Teilnehmer einer Mailingliste von Mozilla, dass der OCSP-Server der BIT-Zertifizierungsstelle zur Zeit nicht funktioniere. Laut dem Mailinglistenbeitrag ist das offenbar schon seit mehreren Wochen der Fall, und das BIT hat auf erste Anfragen nicht reagiert.

Ab Mittwoch soll OCSP wieder funktionieren

Erst die öffentliche Diskussion sorgte offenbar für eine Reaktion seitens des BIT. Ein Mitarbeiter von Verizon berichtete, dass das BIT ihm zugesagt habe, sich schnell um den Vorfall zu kümmern. Die Abschaltung des OCSP-Servers sei durch einen Fehler bei einem Softwareupdate verursacht worden. Am morgigen Mittwoch soll der OCSP-Server wieder zur Verfügung stehen. Gegenüber Golem.de teilte das BIT mit, dass die Prüfung der Zertifikatsgültigkeit mit dem älteren CRL-Protokoll jederzeit möglich war.

Der Vorfall wirft ein Schlaglicht auf die grundsätzlichen Probleme der Gültigkeitsprüfung von Zertifikaten. OCSP-Server dienen dazu, die Gültigkeit von Zertifikaten zu prüfen und insbesondere ein Zurückziehen von Zertifikaten zu ermöglichen. Eigentlich sollte vor jeder Verbindung zu einer HTTPS-Webseite das Zertifikat online geprüft werden.

Doch alle Browser haben das Verfahren nur in einer unsicheren Form implementiert: Wenn der OCSP-Server gerade nicht erreichbar ist, wird das Zertifikat trotzdem als gültig akzeptiert. Der Grund dafür: Würden Browser im Falle eines nicht erreichbaren OCSP-Servers die Verbindung abbrechen, gäbe es viele Fehlalarme, da die Zertifizierungsstellen häufiger ihre Server nicht zuverlässig betreiben. Auch sogenannte Captive-Portale, die in öffentlichen WLAN-Netzen den Besucher zunächst auf eine Login-Seite umleiten, würden mit erzwungener OCSP-Prüfung nicht mehr funktionieren.

Die Entwickler von Chrome haben daher schon vor einiger Zeit die Gültigkeitsprüfung über OCSP ganz abgeschaltet, da sie in der aktuellen Form sowieso nur wenig nützt. Chrome nutzt stattdessen zentral verwaltete Zertifikatssperrlisten. Diese sind jedoch unvollständig: Sie erfassen nur Zertifikate von besonders wichtigen Webseiten.

OCSP Stapling könnte helfen

Abhilfe schaffen würde eine Kombination aus dem OCSP-Stapling-Protokoll und einer Erweiterung in Zertifikaten, die den Einsatz von OCSP Stapling erzwingt. Bei OCSP Stapling wird der OCSP-Server nicht vom Browser abgefragt, vielmehr erledigt dies der Server in periodischen Abständen und schickt die Antwort mit dem TLS-Handshake. Das hat sowohl aus Datenschutz- wie auch aus Performancegründen Vorteile. Nur als Entwurf existiert bislang eine Erweiterung, in der Zertifikatsaussteller die Nutzung von OCSP Stapling erzwingen können.

Die Entwickler von Chrome haben bereits diskutiert, in Zukunft den Einsatz von OCSP Stapling zumindest für sogenannte Extended-Validation-Zertifikate zu erzwingen. Konkrete Pläne gibt es hierzu jedoch noch nicht.

Klar ist: Zur Zeit ist die Zertifikatsprüfung weitgehend nutzlos. Dass ein OCSP-Server für längere Zeit abgeschaltet werden kann, ohne dass es überhaupt in größerem Maße auffällt, zeigt dies sehr deutlich.


eye home zur Startseite
zilti 11. Feb 2015

Höchstens eine Verordnung. Die beiden Parlamente haben keine Zeit für solchen Kleinkram...

PHPGangsta 10. Feb 2015

Korrekt, die Aussage dass OCSP-Server dann unnötig seien oder es nicht so schlimm sei...



Anzeige

Stellenmarkt
  1. beauty alliance Deutschland GmbH & Co. KG, Bielefeld
  2. Vodafone Kabel Deutschland GmbH, Raum Bremen, Osnabrück, Hannover, Wolfsburg, Göttingen (Home-Office)
  3. Bosch Software Innovations GmbH, Waiblingen bei Stuttgart, Immenstaad am Bodensee
  4. GIGATRONIK Ingolstadt GmbH, Ingolstadt


Anzeige
Hardware-Angebote
  1. und doppelten Cashback von 150 € bis 1.000 € sichern
  2. 699,00€
  3. (täglich neue Deals)

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Mit digitalen Workflows Geschäftsprozesse agiler machen
  2. Potenzialanalyse für eine effiziente DMS- und ECM-Strategie
  3. Sicherheitskonzeption für das App-getriebene Geschäft


  1. Fuze

    iPhone-Hülle will den Klinkenanschluss zurückbringen

  2. Raspberry Pi

    Bastelrechner bekommt Pixel-Desktop

  3. Rollenspiel

    Koch Media wird Publisher für Kingdom Come Deliverance

  4. Samsung

    Explodierende Waschmaschinen sind ganz normal

  5. USB Audio Device Class 3.0

    USB Audio over USB Type-C ist fertig

  6. HY4

    Das erste Brennstoffzellen-Passagierflugzeug hebt ab

  7. Docsis 3.1

    Erster Betreiber versorgt alle Haushalte im Netz mit GBit/s

  8. Messenger

    Welche Metadaten Apple in iMessage speichert

  9. Systems-on-a-Chip

    Qualcomm verkauft Snapdragons erstmals einzeln

  10. Virtual Reality Developer

    Udacity gibt Weiterbildungen zum VR-Entwickler



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Canon vs. Nikon: Superzoomer für unter 250 Euro
Canon vs. Nikon
Superzoomer für unter 250 Euro
  1. Snap Spectacles Snapchat stellt Sonnenbrille mit Kamera vor
  2. MacOS 10.12 Fujitsu warnt vor der Nutzung von Scansnap unter Sierra
  3. Bildbearbeitungs-App Prisma offiziell für Android erhältlich

Swift Playgrounds im Test: Apple infiziert Kinder mit Programmiertalent
Swift Playgrounds im Test
Apple infiziert Kinder mit Programmiertalent
  1. Asus PG248Q im Test 180 Hertz erkannt, 180 Hertz gebannt

MacOS 10.12 im Test: Sierra - Schreck mit System
MacOS 10.12 im Test
Sierra - Schreck mit System
  1. MacOS 10.12 Sierra fungiert als alleiniges Sicherheitsupdate für OS X
  2. MacOS Sierra und iOS 10 Apple schmeißt unsichere Krypto raus
  3. Kaspersky Neue Malware installiert Hintertüren auf Macs

  1. Re: Das nächste Konzeptfahrzeug

    Fuchs | 17:09

  2. Re: "Rollenspiel"... irgendwie denke ich dabei...

    TimBleimehl | 17:09

  3. Re: Und jetzt brauchen wir noch einen...

    User_x | 17:09

  4. Re: Wo ist jetzt der Aufreger?

    Nikolai | 17:08

  5. Re: Noch ein vierter Standard

    as (Golem.de) | 17:08


  1. 17:13

  2. 16:56

  3. 16:41

  4. 15:59

  5. 15:20

  6. 15:08

  7. 14:45

  8. 14:26


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel