Notwendigkeit von Zertifikatsvalidierung

Seit es Zertifikate gibt, ist das Problem der Sperrung aktuell. Dabei geht es nicht nur um so massive Probleme wie Betrug oder eine gestohlene SmartCard - sondern auch um häufige und normale Vorkommnisse wie fehlerhafte Zertifikatsdaten (Namensänderung, Abteilungswechsel, Falschausstellung), verlorene bzw. beschädigte SmartCards oder die Kündigung eines Mitarbeiters.   

Nur ein Zertifikat, das vor dem Gebrauch auf Gültigkeit überprüft wurde kann Vertrauen und Sicherheit herstellen:

  • Daten, die mit einem ungültigen Zertifikat verschlüsselt werden sind nicht geheim.
  • Mit einem ungültigen Zertifikat digital signierte Dokumente garantieren keine Identität oder Integrität.

Browsercheck: Überprüft Ihr Browser die Gültigkeit von Server-Zertifikaten?

 
Zertifikatsvalidierung im Wandel der Zeit:

Bisher hat jedes TrustCenter, jede PKI eine Liste von gesperrten Zertifikaten veröffentlicht (Sperrliste, Certificate Revocation List=CRL). Diese Liste enthält natürlich eine Gültigkeit die je nach gewünschter Sperrgeschwindigkeit auf einen bestimmten Zeitraum begrenzt ist.

Heute zeigt sich, dass diese Technologie nur schwierig einzusetzen ist. Die Sperrliste für Serverzertifikate von Verisign ist mit etwa 0,5 MB viel zu groß um komfortabel verwendbar zu sein. Bedingt durch die Größe muss sie außerdem eine lange Gültigkeit von mehreren Tagen haben - um den Netzwerkverkehr bei der Übertragung in Grenzen zu halten - mit sinnvollem Risiko-Management hat das nichts mehr zu tun.

Im Gegensatz dazu wird bei der sogenannten Online-Validierung ein Validierungsserver nach der Gültigkeit eines bestimmten Zertifikats angefragt. Resultat:

  • weniger Netzwerklast: nur die momentan benötigte Information wird übertragen
  • durch zentrale Validierungsstelle ist eine schnelle und flexible Risikosteuerung möglich
  • neue Abrechnungs- bzw. Verrechnungsmöglichkeiten für die Benutzung einer PKI (Anwendung
  • einfacherer Betrieb und bessere Interoperabilität
Mit SyTrust CertControl als Validierungsserver können sie alle heute üblichen Validierungsstandards benutzen und so Ihre PKI in Sachen Risikomanagment, Betrieb und Interoperabilität deutlich erweitern.

security simply works.

  
 
Online-Petition:  
 
Highlights  
  ValidationWorks!: Online Zertifikatsvalidierung (OCSP) für Microsoft Windows. Sichern Sie Ihren PC ab. Sofort-Download und Kaufmöglichkeit!  
 
 
  Der auf SyTrust CertControl Technologie basierende kostenlose Service OpenValidation.org ist für den deutschen Internet Preis 2003 nominiert worden.   
 
 
pki4uni: SyTrust stattet kostenlos Universitäten mit PKI-Technologie aus
  
 
CertControl: kostenlose Testversion des OCSP Responders steht zum Download bereit  
 
  BrowserCheck: Überprüft Ihr Browser die verwendeten Zertifikate auf Gültigkeit?