Einleitung

Das Online Certificate Status Protocol (OCSP) bietet eine Möglichkeit, den Status von Zertifikaten z. B. für den Aufbau von VPN-Verbindungen zu prüfen. Die Geräte nutzen dieses Protokoll, um zu untersuchen, ob der Herausgeber das verwendete Zertifikat evtl. schon vor dem Ablauf der Gültigkeit gesperrt und damit als ungültig markiert hat.

Der Herausgeber der Zertifikate pflegt den Status aller herausgegebenen Zertifikate auf einem speziellen Server, dem OCSP-Responder. Der OCSP-Client (also z. B. ein VPN-Router, der eine Verbindung aufbauen möchte) sendet einen OCSP-Request über das HTTP-Protokoll an den Responder, um den Status des Zertifikats zu ermitteln. Der Responder beantwortet diese Anfrage mit einer signierten Antwort, die der OCSP-Client auf ihre Gültigkeit hin prüft. Die Antwort des OCSP-Responders beschreibt einen der folgenden Zustände:
Sie können das OCSP als Ergänzung oder als Ersatz für die Überprüfung der Zertifikate mit Zertifikatfsrückruflisten (Certificate Revocation Lists – CRL) verwenden. OCSP bietet gegenüber dem Ansatz der CRL folgende Vorteile: