Validierung von Zertifikaten

Wenn eine Zertifizierungsstelle ein Zertifikat vor Ablauf der angegebenen Gültigkeit widerrufen will, dann trägt sie die Seriennummer des Zertifikats auf einem Validierungsserver in eine Widerrufliste (Certificate Revocation List, CRL) ein.

Validierungsserver können auf zwei Arten genutzt werden:

  • Einerseits kann in regelmäßigen Abständen (z. B. einmal pro Woche) die komplette CRL im standardisierten Datenformat heruntergeladen werden. Wer dieses Verfahren verwendet, erfährt möglicherweise erst nach Tagen, dass ein Zertifikat widerrufen ist.

  • Andererseits kann während der Gültigkeitsprüfung eines Zertifikat die Seriennummer an den Server übermittelt werden, der dann mitteilt, ob das Zertifikat noch gültig ist: Online Certificate Status Protocol (OCSP).

Adressen zum CRL-Download stehen als zusätzliche Angaben in den ausgestellten Zertifikaten, die OCSP-Adresse im Zertifikat der Zertifizierungsstelle. Dies ermöglicht die vollautomatische Nutzung der Validierungsmechanismen. CRLs können aber auch halbautomatisch oder manuell genutzt werden.

Aus Aktualitätsgründen verweisen die Links in der Tabelle unten direkt auf die Validierungsserver der für die Zertifikate der WWUCA relevanten Zertifizierungsstellen.

Wenn Sie eine CRL über diesen Weg importieren, wird Ihr WWW-Programm wahrscheinlich regelmäßig von der gleichen Adresse die neueste Version nachladen.

Bei Klick auf Import sollte das im Binärformat übertragene Zertifikat automatisch in Ihr WWW-Programm übernommen werden. Bei Klick auf Text wird der Schlüssel im PEM-Format zum Abspeichern heruntergeladen.

 

X.509 WWUCA

X.509 DFN-PCA

X.509 Wurzel-CA

2027

2016

Import (.crl)
Text (.txt)
Text (.pem)

Import (.crl)
Text (.txt)
Text (.pem)

T-TeleSec GlobalRoot Class 2

Import (.crl)

2016

2007

Import (.crl)
Text (.txt)
Text (.pem)

Import (.crl)
Text (.txt)
Text (.pem)

Deutsche Telekom Root CA 2

Import (.crl)