Validierung von Zertifikaten

Wenn eine Zertifizierungsstelle ein Zertifikat vor Ablauf der angegebenen Gültigkeit widerrufen will, dann trägt sie die Seriennummer des Zertifikats auf einem Validierungsserver in eine Widerrufliste (Certificate Revocation List) ein.

Validierungsserver können auf drei Arten genutzt werden:

  • Einerseits kann in regelmäßigen Abständen (z. B. einmal pro Woche) die komplette Certificate Revocation List (CRL) im standardisierten Datenformat heruntergeladen werden. Wer dieses Verfahren verwendet, erfährt möglicherweise erst nach Tagen, dass ein Zertifikat widerrufen ist.

  • Andererseits kann während der Gültigkeitsprüfung eines Zertifikat die Seriennummer an den Server übermittelt werden, der dann mitteilt, ob das Zertifikat noch gültig ist: Online Certificate Status Protocol (OCSP).

  • Besser noch liefert der Server mit seiner Antwort gleich die entsprechende aktuelle von der Zertifizierungsstelle signierte und mit Zeitstempel versehene OCSP-Antwort mit: OCSP Stapling.

Adressen zum CRL-Download stehen als zusätzliche Angaben in den ausgestellten Zertifikaten, die OCSP-Adresse im Zertifikat der Zertifizierungsstelle. Dies ermöglicht die vollautomatische Nutzung der Validierungsmechanismen. CRLs können aber auch halbautomatisch oder manuell genutzt werden.

Aus Aktualitätsgründen verweisen die Links in der Tabelle unten direkt auf die Validierungsserver der für die Zertifikate der WWUCA relevanten Zertifizierungsstellen.

Wenn Sie eine CRL über diesen Weg importieren, wird Ihr WWW-Programm wahrscheinlich regelmäßig von der gleichen Adresse die neueste Version nachladen.

Bei Klick auf Import sollte das im Binärformat übertragene Zertifikat automatisch in Ihr WWW-Programm übernommen werden. Bei Klick auf Text wird der Schlüssel im PEM-Format zum Abspeichern heruntergeladen.

„TCS“-Zertifikate

 

X.509 GÉANT-TCS

X.509 Wurzel-CA

X.509 Alternative Wurzel-CA

Jetzt

2021

User-RSA-Zertifikate:
GEANT Personal CA 4
Import (.crl)

USERTrust RSA Certification Authority
Import (.crl)

AAA Certificate Services
Import (.crl)

User-eScience-RSA-Zertifikate:
GEANT eScience Personal CA 4
Import (.crl)

Code-Signing-RSA-Zertifikate:
GEANT Code Signing CA 4
Import (.crl)

Server-RSA-Zertifikate:
GEANT OV RSA CA 4
Import (.crl)

Server-eScience-RSA-Zertifikate:
GEANT eScience SSL CA 4
Import (.crl)

Server-RSA-Zertifikate per ACME:
Sectigo RSA Organization Validation Secure Server CA
Import (.crl)

User-ECC-Zertifikate:
GEANT Personal ECC CA 4
Import (.crl)

USERTrust ECC Certification Authority
Import (.crl)

User-eScience-ECC-Zertifikate:
GEANT eScience Personal ECC CA 4
Import (.crl)

Server-ECC-Zertifikate:
GEANT OV ECC CA 4
Import (.crl)

Server-eScience-ECC-Zertifikate:
GEANT eScience SSL ECC CA 4
Import (.crl)

Server-ECC-Zertifikate per ACME:
Sectigo ECC Organization Validation Secure Server CA
Import (.crl)

„Global“-Zertifikate

 

X.509 WWUCA

X.509 DFN-PCA

X.509 Wurzel-CA

Jetzt

2016

Import (.crl)
Text (.txt)
Text (.pem)

Import (.crl)
Text (.txt)
Text (.pem)

T-TeleSec GlobalRoot Class 2
Import (.crl)