Automatisierte Überprüfung digitaler Zertifikate in Unternehmen in Echtzeit

Windows Vista macht's einfach: Zertifikate mit OCSP rasch validiert

(20.03.07) - Zertifikate schnell und zuverlässig sperren und validieren zu können - das ist die Basis für den Erfolg einer Public Key Infrastruktur (PKI). Denn jede PKI ist nur so gut, wie die dahinter-liegenden Zertifikate. Der "TC OCSP Responder" von TC TrustCenter nutzt das Online Certificate Status Protokolls (OCSP) und ermöglicht damit die Validierung der eingesetzten Zertifikate in Echtzeit. Neu dabei ist, dass seit der Einführung von Windows Vista jeder Client mit Windows Vista OCSP nutzen kann, ohne zusätzliche Software zu installieren.

Bei der Verwendung der bislang gängigen Certificate Revocation Lists (CRLs) stehen die Betreiber einer PKI vor einem Konflikt: Entweder ist die Zeitspanne zwischen der Sperranforderung und der tatsächlichen Sperrung sehr groß, oder der Datenverkehr für die Validierung wird sehr groß. Letzteres Problem verstärkt sich mit zunehmender PKI-Größe. Um diesen Konflikt zu vermeiden, wurde das OCSP-Protokoll entwickelt. Durch OCSP lassen sich Zertifikate jederzeit schnell und aktuell validieren.

Bislang gab es nur ein Hindernis bei der Einführung von OCSP: Auf der Client-Seite war die Installation zusätzlicher Software zur Unterstützung von OCSP nötig, was einen erheblichen Aufwand für die Systempflege und den Support erforderte. Durch die Integration von OCSP in Windows Vista und durch dessen zunehmende Verbreitung wird genau dieses Problem behoben.

"Insbesondere in großen PKIs spielt die Möglichkeit, Zertifikate schnell validieren zu können, eine maßgebliche Rolle für den nachhaltigen Erfolg der Sicherheitsumgebung", sagt Dr. Rolf Lindemann, Director Product Management bei TC TrustCenter. "Da das OCSP-Protokoll eine sehr gute Lösung zur Validierung darstellt, gehen wir davon aus, dass mit der zunehmenden Verbreitung von OCSP-fähigen Clients auch der Einsatz von OCSP in großen PKIs wachsen wird. Mit der Einführung von Windows Vista wurde bereits der erste Meilenstein erreicht." (TC TrustCenter: ma)