Widerruf digitaler Zertifikate

Der Widerruf digitaler Zertifikate ist der Schlüssel zu PKI Sicherheit. Erfahren Sie in unserem Artikel, warum es wichtig ist und wie Sie es verwalten.

Verwandte Inhalte

Willst du weiter lernen?

Abonnieren Sie den Newsletter von SSL.com, bleiben Sie informiert und sicher.

Was ist der Widerruf digitaler Zertifikate?

Beim Widerruf eines digitalen Zertifikats wird ein digitales Zertifikat vor seinem natürlichen Ablaufdatum für ungültig erklärt. Dies geschieht normalerweise, wenn das Zertifikat nicht mehr als sichere Kommunikationslösung angesehen werden kann.

Warum es wichtig ist: Der Widerruf trägt zur Aufrechterhaltung der allgemeinen Sicherheit des PKI Ökosystem, indem sichergestellt wird, dass kompromittierte oder veraltete Zertifikate nicht für die sichere Kommunikation verwendet werden.

Warum ein Zertifikat widerrufen?

Es gibt mehrere Gründe, warum ein Zertifikat widerrufen werden muss:

  1. Kompromittierter privater Schlüssel: Wenn der zum Zertifikat gehörende private Schlüssel gestohlen wurde oder Unbefugte darauf zugreifen, muss das Zertifikat umgehend gesperrt werden, um möglichen Missbrauch zu verhindern.
  2. Änderung der Zertifikatsinformationen: Bei wesentlichen Änderungen der Informationen im Zertifikat (z. B. Änderung des Firmennamens, Änderung des Domänennamens) sollte das Zertifikat widerrufen und ein neues mit den aktualisierten Informationen ausgestellt werden.
  3. Einstellung des Betriebs: Wenn die Organisation oder Einrichtung, die das Zertifikat besitzt, ihren Betrieb einstellt oder das Zertifikat nicht mehr benötigt, sollte es widerrufen werden.
  4. Abgelöst durch ein neues Zertifikat: In einigen Fällen kann ein neues Zertifikat ausgestellt werden, um ein bestehendes vor dessen Ablauf zu ersetzen. Das alte Zertifikat sollte widerrufen werden, um Klarheit zu wahren und potenzielle Konflikte zu vermeiden.
  5. Falschausgabe: Wenn ein Zertifikat irrtümlicherweise oder ohne ordnungsgemäße Validierung ausgestellt wurde, sollte es widerrufen werden, um die Integrität der Vorgänge der Zertifizierungsstelle zu wahren.

Beispielszenario: Ein Unternehmen stellt fest, dass ein Mitarbeiter mit Zugriff auf seinen privaten Schlüssel das Unternehmen unter ungünstigen Umständen verlassen hat. Um die Sicherheit seiner Kommunikation zu gewährleisten, sollte es das aktuelle Zertifikat sofort widerrufen und ein neues mit einem neuen privaten Schlüssel ausstellen.

Wie kann ich überprüfen, ob ein Zertifikat widerrufen wurde?

Es gibt zwei Hauptmethoden zum Überprüfen des Widerrufsstatus eines Zertifikats:

1. Zertifikatsperrliste (CRL):

  • Eine CRL ist eine von der Zertifizierungsstelle (Certificate Authority, CA) verwaltete Liste widerrufener Zertifikate.
  • Clients laden die CRL regelmäßig herunter und vergleichen sie mit dem betreffenden Zertifikat.
  • Vorteile: Kann lokal zwischengespeichert werden, wodurch der Netzwerkverkehr reduziert wird.
  • Nachteile: Ist zwischen den Updates möglicherweise nicht auf dem neuesten Stand, kann groß und unhandlich werden.

2. Online Certificate Status Protocol (OCSP):

  • OCSP ermöglicht die Überprüfung des Zertifikatsstatus in Echtzeit.
  • Clients senden eine Anfrage an einen OCSP-Responder, um den Status eines bestimmten Zertifikats zu überprüfen.
  • Vorteile: Bietet Status in Echtzeit, effizienter als das Herunterladen ganzer CRLs.
  • Nachteile: Für jede Prüfung ist eine Netzwerkverbindung erforderlich, mögliche Datenschutzbedenken.

So führen Sie eine Prüfung durch:

Für CRL:

  1. Suchen Sie den CRL-Verteilungspunkt im Zertifikat (normalerweise in der Erweiterung „CRL-Verteilungspunkte“).
  2. Laden Sie die CRL von der angegebenen URL herunter.
  3. Überprüfen Sie, ob die Seriennummer des Zertifikats in der CRL aufgeführt ist.

Für OCSP:

  1. Suchen Sie im Zertifikat nach der URL des OCSP-Responders (normalerweise in der Erweiterung „Authority Information Access“).
  2. Senden Sie eine OCSP-Anfrage mit den Zertifikatsinformationen an den Antwortenden.
  3. Empfangen und interpretieren Sie die OCSP-Antwort.

Viele Betriebssysteme und Browser führen diese Prüfungen automatisch durch, wenn sie auf ein Zertifikat stoßen.

Wer kann ein Zertifikat widerrufen?

Normalerweise können zwei Stellen ein digitales Zertifikat widerrufen:

1. Zertifizierungsstelle (CA):

  • Die Zertifizierungsstelle, die das Zertifikat ausgestellt hat, ist berechtigt, es zu widerrufen.
  • Zertifizierungsstellen können Zertifikate aus verschiedenen Gründen widerrufen, beispielsweise bei Verdacht auf Kompromittierung, Richtlinienverstößen oder auf Anfrage des Zertifikatsinhabers.

2. Zertifikatsinhaber:

  • Die Organisation oder Einzelperson, an die das Zertifikat ausgestellt wurde, kann eine Sperrung beantragen.
  • Dies erfolgt normalerweise über ein von der Zertifizierungsstelle bereitgestelltes Portal oder eine Schnittstelle.

Ablauf für Zertifikatsinhaber:

  1. Melden Sie sich beim Zertifikatsverwaltungsportal der Zertifizierungsstelle an.
  2. Suchen Sie das zu widerrufende Zertifikat.
  3. Wählen Sie die Widerrufsoption und geben Sie einen Grund an.
  4. Bestätigen Sie den Widerrufsantrag.
  5. Die Zertifizierungsstelle verarbeitet die Anfrage und aktualisiert ihre Sperrlisten.
  6. Um sicherzustellen, dass nur legitime Widerrufsanfragen bearbeitet werden, müssen geeignete Authentifizierungs- und Autorisierungsmechanismen vorhanden sein.

Was passiert nach dem Widerruf?

Wenn ein Zertifikat widerrufen wird, passieren mehrere Dinge:

1. Das Zertifikat wird ungültig:

  • Das Zertifikat wird für die sichere Kommunikation nicht mehr als vertrauenswürdig angesehen.
  • Es sollte nicht für Verschlüsselung, digitale Signaturen oder Authentifizierungszwecke verwendet werden.

2. Systeme sollten das Zertifikat ablehnen:

  • Ordnungsgemäß konfigurierte Systeme und Anwendungen prüfen den Widerrufsstatus und lehnen widerrufene Zertifikate ab.
  • Dadurch wird die Herstellung sicherer Verbindungen mithilfe des kompromittierten oder ungültigen Zertifikats verhindert.

3. Widerrufsbelehrung wird veröffentlicht:

  • Die Zertifizierungsstelle aktualisiert ihre Zertifikatsperrliste (Certificate Revocation List, CRL), um das widerrufene Zertifikat aufzunehmen.
  • OCSP-Responder werden aktualisiert, um bei Abfrage den widerrufenen Status zu melden.

4. Mögliche Dienstunterbrechung:

  • Dienste, die das widerrufene Zertifikat verwenden, sind möglicherweise nicht mehr verfügbar, bis ein neues Zertifikat installiert wird.
  • Es ist wichtig, einen Plan für den schnellen Ersatz widerrufener Zertifikate zu haben, um Ausfallzeiten zu minimieren.

5. Sicherheitswarnungen:

  • Einige Systeme generieren möglicherweise Warnungen, wenn sie die Verwendung eines widerrufenen Zertifikats erkennen.
  • Diese Warnungen können Administratoren dabei helfen, potenzielle Sicherheitsprobleme zu identifizieren und zu beheben.

Bewährte Vorgehensweisen nach dem Widerruf:

  1. Entfernen Sie das widerrufene Zertifikat umgehend aus allen Systemen und Anwendungen.
  2. Installieren Sie so schnell wie möglich ein neues, gültiges Zertifikat, um die sichere Kommunikation wiederherzustellen.
  3. Prüfen Sie den Grund für den Widerruf und ergreifen Sie entsprechende Sicherheitsmaßnahmen (z. B. Änderung gefährdeter Passwörter, Aktualisierung der Systeme).
  4. Überprüfen und aktualisieren Sie die Zertifikatsverwaltungsprozesse, um ähnliche Probleme in Zukunft zu vermeiden.

Fazit

Das Verständnis des Zertifikatswiderrufs ist für die Aufrechterhaltung einer sicheren digitalen Umgebung von entscheidender Bedeutung. Durch den sofortigen Widerruf kompromittierter oder veralteter Zertifikate und die ordnungsgemäße Überprüfung des Widerrufsstatus können Unternehmen ihre Cybersicherheit erheblich verbessern und vertrauliche Kommunikation schützen.

Denken Sie daran, dass die Zertifikatsverwaltung, einschließlich der Sperrung, ein fortlaufender Prozess ist. Regelmäßige Audits, transparente Richtlinien und automatisierte Tools können dazu beitragen, dass Ihre digitalen Zertifikate gültig, vertrauenswürdig und sicher bleiben.


Weitere Informationen zum OCSP-Heften und zur Implementierung auf Ihren Servern finden Sie in unserem Artikel. Optimierung des Seitenladens: OCSP-Heften. Beispiele für Browserfehlermeldungen aufgrund von widerrufenen Zertifikaten finden Sie unter dem Leitfaden. Sie können den Widerrufsstatus eines Zertifikats unter überprüfen ificate.revocationcheck.com. Und natürlich, wenn Sie Fragen zu OCSP oder einem anderen Thema haben PKI und digitale Zertifikate kontaktieren Sie uns bitte per E-Mail unter Support@SSL.comRufen Sie 1-SSL-SECURE an oder klicken Sie einfach auf die Chat-Schaltfläche unten rechts auf dieser Seite. Antworten auf viele häufig gestellte Support-Fragen finden Sie auch in unserer Wissensbasis. Und wie immer vielen Dank, dass Sie sich für SSL.com entschieden haben!

Bleiben Sie informiert und sicher

SSL.com ist ein weltweit führendes Unternehmen im Bereich Cybersicherheit, PKI und digitale Zertifikate. Melden Sie sich an, um die neuesten Branchennachrichten, Tipps und Produktankündigungen von zu erhalten SSL.com.

Wir würden uns über Ihr Feedback freuen

Nehmen Sie an unserer Umfrage teil und teilen Sie uns Ihre Meinung zu Ihrem letzten Kauf mit.