Das OCSP (Online Certificate Status Protocol) ermöglicht es, den Sperrstatus von Zertifikaten online zu prüfen. OCSP ist damit eine Alternative zu den etablierten Sperrlisten (Certificate Revocation List - CRL).

Wie funktioniert OCSP?

  • Bei jeder Nutzung eines Zertifikats wird eine Anfrage nach dem Sperrstatus des Zertifikats an einen Server (OCSP-Responder) gestellt.
  • Wenn die Antwort positiv ist, kann das Zertifikat genutzt werden.

OCSP kann unter folgenden Voraussetzungen genutzt werden:

  • Es steht ein OCSP-Responder zur Verfügung
  • Das Zertifikat (mit dem z.B. ein Webserver geschützt wird) muss OCSP-fähig sein. In der DFN-PKI sind im Sicherheitsniveau "Global" seit 2012 alle Serverzertifikate OCSP-fähig. Nutzerzertifikate in "Global" sind seit Dezember 2014 per Default OCSP-fähig.
  • Die Anwendung (z.B. ein Webbrowser) muss OCSP unterstützen

In der DFN-PKI wird ein OCSP-Responder betrieben.

OCSP Testumgebung

Um zu testen, ob Ihr Browser OCSP unterstützt, können Sie folgende Webseiten aufrufen: