Beim Aufbau von SSL-Verbindungen, (korrekt ist eigentlich TLS-Verbindung) existieren Verfahren über die das Zertifikat auf Korrektheit geprüft wird. Dazu gehört es, dass bei der Zertifizierungsstelle verifiziert wird, ob das jeweils zugrundeliegende X.509-Zertifikat von dieser nicht evtl. zurückgezogen wurde. Zertifikate werden zurückgezogen, wenn ihnen durch den Besitzer mitgeteilt wurde, dass der private Schlüssel eines Zertifikats in die Hände von Dritten (Angreifern) gelangt ist.
Es existieren zwei bekannte Verfahren, die für diese Prüfung zuständig sind, allerdings zahlreiche Probleme und Schwachstellen besitzen und daher immer seltener eingesetzt werden. Teilweise sind diese von den Browserherstellern sogar komplett deaktiviert worden. Dies sind “CRL” (Certificate Revocation List) und “OCSP” (Online Certificate Status Protocol).
Das sog. “OCSP Stapling” ist das aktuellste Verfahren und wird zwischenzeitlich endlich auch von allen großen Browsern unterstützt, zuletzt fehlte Firefox noch in der Reihe bei dem es erst seit Version 25 nutzbar ist. Allerdings muss auch der Server Informationen liefern und OCSP Stapling unterstützen; da gibt es noch Probleme 🙁
OCSP Stapling im Browser aktivieren
Im Firefox müssen wir mal wieder manuell die Config aufrufen und ändern. Dazu tippt ihr in der Adresszeile “about:config” ohne die Anführungszeichen ein. Anschließend sucht ihr den folgenden Eintrag und stellt diesen um:
security.ssl.enable_ocsp_stapling -> true
Im Falle, dass OCSP Stapling vom Server nicht unterstützt wird, wird OCSP als Fallback genutzt. Soll beim Verbindungsaufbau mit TLS in jedem Fall eine Prüfung des Zertifikats erfolgen, so muss das ebenfalls noch aktiviert werden. Für OCSP sind die beiden folgenden Einträge zuständig:
security.OCSP.require -> true
security.OCSP.enabled -> 1 (sollte schon gesetzt sein)
Bitte beachtet, ist die Zertifizierungsstelle nicht erreichbar, dann könnt ihr die Webseite nicht aufrufen. Zumindest nicht per https.
Bei Opera und Chrome ist OCSP Stapling in den aktuellen Versionen bereits aktiv.
Kompatibilität von Server und Browsern
Server-Kompatibilität mit OCSP Stapling:
- seit Apache 2.4 (inoffiziell seit 2.3.3)
- seit Nginx 1.4.0 (ioffiziell seit 1.3.7)
- seit IIS 7.5
Browser-Kompatibilität mit OCSP Stapling:
- Firefox 25 und höher
- Opera 12 und höher
- Chrome 30 und höher
- Internet Explorer 9 und höher (erst ab Windows Vista)
- Safari scheint es nicht zu unterstützen
Zur Prüfung, ob der Browser OCSP Stapling aktiviert hat, ruft einfach folgende Seite aus und seht nach, ob dort bei den Protocol Details neben OCSP stapling ein “Yes” steht:
https://www.ssllabs.com/ssltest/viewMyClient.html
