Seit 2019 werden unsere SSL-Zertifikate ohne CRL-Erweiterung ausgestellt. Stattdessen wird OCSP (=Online Certificate Status Protocol) verwendet, um den Status eines Zertifikats zu überprüfen. Was genau CRL und OCSP ist und wie Sie dennoch ein Zertifikat mit CRL-Erweiterung erhalten, können Sie nachfolgend erfahren.
CRL (=Certificate Revocation List) ist eine Liste mit SSL-/TLS-Zertifikatsseriennummern, die vor Ablauf der Gültigkeit widerrufen oder gesperrt wurden und von Browsern nicht mehr als vertrauenswürdig angesehen werden sollten. Wieso ein Zertifikat nicht mehr als vertrauenswürdig eingestuft werden sollte, kann unterschiedliche Gründe haben:
Wenn ein Browser eine Anfrage an eine sichere Webseite sendet, dann erhält die zuständige Zertifizierungsstelle die Anfrage und sendet eine Antwort mit der Liste aller gesperrten Zertifikate an den Browser zurück. Im Anschluss prüft der Browser anhand der Seriennummer, ob das Zertifikat der aufgerufenen Webseite in der CRL vorhanden ist. Über die CRL-Extentions in einem SSL-Zertifikat erfährt der Browser, welche Zertifizierungsstelle für die Anfrage zuständig ist.
Das Problem ist, dass CRLs sehr fehleranfällig sind, da diese Listen regelmäßig aktualisiert werden müssen. Dies erzeugt bei den Zertifizierungsstellen einen hohen Wartungsaufwand und erzeugt ein Zeitfenster, in dem ein widerrufenes SSL-/TLS-Zertifikat noch als vertrauenswürdig angezeigt wird. Darüberhinaus sind CRLs auch ineffizient, da sie je nach Länge der Liste nur sehr langsam überprüft werden können. CRL wurde mittlerweile durch OCSP ersetzt.
Das Protokoll wird, wie auch CRL, zur Überprüfung der Vertrauenswürdigkeit eines SSL-/TLS-Zertifikats verwendet. Das ursprüngliche OCSP war mit erheblichen Problemen behaftet, weswegen sich der neue Ansatz "OCSP Stapling" etabliert hat und von den Zertifizierungsstellen und Browsern zur Überprüfung der SSL-/TLS-Zertifikate verwendet wird.
Zur Überprüfung der Zertifikate stellen die Zertifizierungsstellen spezielle Server, sogenannte OCSP-Responder, zur Verfügung, die auf OCSP-Anfragen wartet. Aber anstatt für jede Zertifikatsüberprüfungsanfrage eine Anfrage an den Server zu senden, ermöglicht "OCSP Stapling" dem Webserver den OCSP-Responder in regelmäßigen Abständen direkt zu kontaktieren und dessen Antwort zwischenzuspeichern. Je nach OCSP-Antwort wird dann entweder die Webseite im Browser angezeigt oder es erscheint eine Fehlermeldung, dass das Zertifikt der Webseite ungültig ist. Folgende Antworten gibt ein OCSP-Responder aus:
Der große Vorteil von OCSP Stapling ist, dass die Überprüfung eines SSL-/TLS-Zertifikats in Echtzeit erfolgen kann und somit die Ladezeiten einer Webseite erheblich reduziert werden. Des Weiteren werden keine Browser-Informationen der Nutzer an die Zertifizierungsstelle gesendet, da die Überprüfung durch den Webserver erfolgt.
OCSP-Stapling wird von allen wichtigen Browsern und Zertifizierungsstellen unterstützt, jedoch kann es insbesondere bei älterer Software vorkommen, dass Sie noch auf die CRL-Extension angewiesen sind. In diesem Fall muss das Zertifikat nachträglich angepasst werden.
Um Ihr Zertifikat mit CRL-Extension zu erhalten, gehen Sie folgendermaßen vor:
Erstellen Sie einen neuen CSR und speichern Sie sich den neuen PrivateKey auf Ihrer Festplatte oder einem externen Datenträger ab.
Für die Erstellung des neuen CSRs können Sie z.B. unseren CSR-Generator verwenden.
Sollten Sie einen IIS einsetzen, dann muss der CSR zwingend auf dem Server generiert werden. Anderfalls kann das Zertifikat nicht auf dem Server eingespielt werden!
Loggen Sie sich mit Ihren Zugangsdaten in Ihren Kundenaccount auf unserer Webseite ein.
Klicken Sie auf Meine Käufe und anschließend auf Zertifikate.
Rufen Sie nun das ausgestellte Zertifikat auf, um in die Zertifikatsdetails zu gelangen.
Klicken Sie nun auf Abändern, um die Neuausstellung einzuleiten, und tauschen Sie den vorhandenen CSR gegen den neuen CSR aus. Wählen Sie die gewünschte Validierungsmethode und klicken Sie anschließend auf Absenden.
Bevor Sie nun die Domainvalidierung durchführen, müssen Sie unseren Support kontaktieren, da wir die Bestellung intern anpassen müssen.
Wichtig ist, dass Sie uns vor der Bestätigung kontaktieren, da die Anpassung im Nachhinein nicht mehr möglich ist!
Als Alternative können Sie die Listen auch manuell beziehen. Hierzu können Sie die Informationen von folgenden Server anfordern:
Von persönlichen Daten bis hin zu Finanzdaten stellen SSL-Zertifikate sicher, dass die zwischen dem Browser eines Benutzers und einem Webserver übertragenen Daten verschlüsselt und sicher bleiben. Erfahren Sie hier, wie diese Technologie funktioniert.
Entdecken Sie, warum SSL/TLS-Zertifikate jetzt schneller als je zuvor ablaufen – von Jahren auf nur noch 47 Tage! Erfahren Sie, wie dieser Wandel die Sicherheit erhöht, Automatisierung erzwingt und was er für Webnutzer und Entwickler bedeutet.
LEI-Nummern sind entscheidend für den Handel und die Sicherheit im Finanzsektor. Erfahren Sie, wie sie verwendet werden, wie sie beantragt werden und welche Konsequenzen bei fehlender Nummer entstehen können. Lesen Sie mehr über die zukünftige Entwicklung von LEI-Nummern und wie sie die IT-Sicherheit verbessern können. Registrieren Sie sich bei EuropeanLEI, um Ihre eigene LEI-Nummer zu erhalten.
Die Bedeutung von SSL-Zertifikaten für KMUs und wie sie Vertrauen bei Kunden aufbauen und vor Cyberangriffen schützen können. Unterschiede zwischen verschiedenen Arten von SSL-Zertifikaten und warum sie wichtig sind.
Entdecken Sie, wie Post-Quanten-SSL Ihre Website vor zukünftigen Cyber-Bedrohungen schützen und Ihre Daten vor Angriffen durch Quantencomputer sichern kann. Lernen Sie, diese fortschrittliche Sicherheitsmaßnahme heute zu implementieren und davon zu profitieren!
![[DE]](data:image/png;base64,iVBORw0KGgoAAAANSUhEUgAAAB4AAAAUCAIAAAAVyRqTAAAAGXRFWHRTb2Z0d2FyZQBBZG9iZSBJbWFnZVJlYWR5ccllPAAAAyRpVFh0WE1MOmNvbS5hZG9iZS54bXAAAAAAADw/eHBhY2tldCBiZWdpbj0i77u/IiBpZD0iVzVNME1wQ2VoaUh6cmVTek5UY3prYzlkIj8+IDx4OnhtcG1ldGEgeG1sbnM6eD0iYWRvYmU6bnM6bWV0YS8iIHg6eG1wdGs9IkFkb2JlIFhNUCBDb3JlIDUuMy1jMDExIDY2LjE0NTY2MSwgMjAxMi8wMi8wNi0xNDo1NjoyNyAgICAgICAgIj4gPHJkZjpSREYgeG1sbnM6cmRmPSJodHRwOi8vd3d3LnczLm9yZy8xOTk5LzAyLzIyLXJkZi1zeW50YXgtbnMjIj4gPHJkZjpEZXNjcmlwdGlvbiByZGY6YWJvdXQ9IiIgeG1sbnM6eG1wPSJodHRwOi8vbnMuYWRvYmUuY29tL3hhcC8xLjAvIiB4bWxuczp4bXBNTT0iaHR0cDovL25zLmFkb2JlLmNvbS94YXAvMS4wL21tLyIgeG1sbnM6c3RSZWY9Imh0dHA6Ly9ucy5hZG9iZS5jb20veGFwLzEuMC9zVHlwZS9SZXNvdXJjZVJlZiMiIHhtcDpDcmVhdG9yVG9vbD0iQWRvYmUgUGhvdG9zaG9wIENTNiAoTWFjaW50b3NoKSIgeG1wTU06SW5zdGFuY2VJRD0ieG1wLmlpZDo2RjU5RkIzOTE3N0ExMUUyODY3Q0FBOTFCQzlGNjlDRiIgeG1wTU06RG9jdW1lbnRJRD0ieG1wLmRpZDo2RjU5RkIzQTE3N0ExMUUyODY3Q0FBOTFCQzlGNjlDRiI+IDx4bXBNTTpEZXJpdmVkRnJvbSBzdFJlZjppbnN0YW5jZUlEPSJ4bXAuaWlkOjZGNTlGQjM3MTc3QTExRTI4NjdDQUE5MUJDOUY2OUNGIiBzdFJlZjpkb2N1bWVudElEPSJ4bXAuZGlkOjZGNTlGQjM4MTc3QTExRTI4NjdDQUE5MUJDOUY2OUNGIi8+IDwvcmRmOkRlc2NyaXB0aW9uPiA8L3JkZjpSREY+IDwveDp4bXBtZXRhPiA8P3hwYWNrZXQgZW5kPSJyIj8+aBEH3AAAAChJREFUeNpiYBgFo2CAAOMNmhnNxDBq9KjReBPf/3OjATJqNB4AEGAA+2UCvgLMJf0AAAAASUVORK5CYII=){kind=small}