Windows Server Longhorn: OCSP bei den Zertifikatsdiensten, Teil 1

Bei den Zertifikatsdiensten des Windows Server Longhorn hat sich einiges getan. Eine der wichtigsten Neuerungen ist die Unterstützung von OCSP (Online Certificate Status Protocol), einem Protokoll für PKIs, mit dem Zertifizierungsstellen Informationen über den Status von Zertifikaten geben können.

OCSP ist faktisch ein Nachfolger der CRLs (Certificate Revocation Lists), die bisher auch beim Windows Server der einzige unterstützte Standard waren. CRLs haben aber den großen Nachteil, dass sie typischerweise höchstens einmal pro Tag aktualisiert werden, sodass zwischen der Sperrung eines Zertifikats und der Umsetzung durch die Anwendungen relativ viel Zeit vergeht.

Das ist unter dem Aspekt der Sicherheit nicht tragbar. Wenn sowohl die PKI als auch die Anwendungen OCSP unterstützen, werden Sperrungen von Zertifikaten dagegen sofort wirksam, weil bei der nächsten Anfrage eben gemeldet wird, dass ein Zertifikat nicht mehr gültig ist.

Serie

Teil 1

Grundlagen zu OSCP und Einrichtung der Zertifikatsdienste mit OCSP

Teil 2

Die Konfiguration und Nutzung von OCSP