Überprüfen der Gültigkeit eines Zertifikats auf Ihrem Computer

Wenn eine Anwendung elektronisch signierten oder gesicherten Inhalt über das Internet erhält, wie beispielsweise eine HTTPS-gesicherte Website oder signierte Software, muss die Anwendung prüfen, ob das für die Sicherung des Inhalts verwendete Zertifikat, wie SSL oder ein Codesignaturzertifikat, gültig ist.

Anwendungen wie Webbrowser oder Betriebssysteme überprüfen Zertifikate mittels Zertifikatsperrlisten (CRLs) oder dem Netzwerkprotokoll OCSP.

Überprüfungsmethoden

Anwendungen nutzen zwei Methoden, um die Gültigkeit von elektronischen Zertifikaten zu prüfen:

CRLs (Certification Revocation Lists) – Dies sind Zertifikatsperrlisten, in denen gesperrte Zertifikate aufgeführt sind. Anwendungen, die mit CRLs die Gültigkeit der Zertifikate überprüfen, laden die gesamte CRL-Datei herunter und überprüfen anhand dieser Liste dann das Zertifikat. Falls ein Zertifikat gesperrt ist und in der CRL aufgeführt ist, sollte die Anwendung diesem Zertifikat nicht vertrauen.

OCSP (Online Certificate Status Protocol) – OCSP-Dienste beruhen auf Abfragen. Anwendungen, die OCSP einsetzen, prüfen den Status eine Zertifikats ohne eine Zertifikatsperrliste herunterladen zu müssen. OCSP gibt als Antwort entweder „good“ (in Ordnung) oder „revoked“ (gesperrt) aus.

Die folgende Tabelle veranschaulicht, wie bekannte Anwendungen und Betriebssysteme Zertifikate überprüfen. Einige Anwendungen oder Betriebssysteme sind möglicherweise so eingerichtet, dass sie anders verfahren.

Die Softwarehersteller legen die Überprüfungsmethode fest. Die Zertifizierungsstelle hat keinen Einfluss darauf.

Windows® 2000 Windows XP / Windows Server 2003 Windows Vista Windows 7 / Windows Server 2008 Mac® OS X
Internet Explorer® CRL CRL Erst OCSP; falls OCSP nicht verfügbar, dann CRL Erst OCSP; falls OCSP nicht verfügbar, dann CRL n. z.
Firefox® OCSP OCSP OCSP OCSP OCSP
Safari® n. z. CRL Erst OCSP; falls OCSP nicht verfügbar, dann CRL Erst OCSP; falls OCSP nicht verfügbar, dann CRL Erst OCSP; falls OCSP nicht verfügbar, dann CRL
Chrome n. z. CRL Erst OCSP; falls OCSP nicht verfügbar, dann CRL Erst OCSP; falls OCSP nicht verfügbar, dann CRL Erst OCSP; falls OCSP nicht verfügbar, dann CRL
Opera® OCSP und CRL OCSP und CRL OCSP und CRL OCSP und CRL OCSP und CRL
Überprüfung von Codesignaturzertifikaten CRL CRL Erst OCSP; falls OCSP nicht verfügbar, dann CRL Erst OCSP; falls OCSP nicht verfügbar, dann CRL Erst OCSP; falls OCSP nicht verfügbar, dann CRL

Zugriff auf CRL- und OCSP-Services

Zertifikatsperrlisten und OCSP nutzen HTTP, um von den folgenden Servern Daten abzurufen. Als Netzwerkadministrator Ihrer Organisation müssen Sie darauf achten, dass alle Computer in Ihrem Netzwerk, die von uns ausgegebene elektronische Zertifikate empfangen können, Zugriff auf diese CRL- und OCSP-Dienste haben.

Service DNS-Hostnamen Ziel-IPs Port
CRL crl.godaddy.com
certificates.godaddy.com
crl.starfieldtech.com
certificates.starfieldtech.com
72.167.18.237
72.167.18.238
72.167.239.237
72.167.239.238
188.121.36.237
188.121.36.238
182.50.136.237
182.50.136.238
50.63.243.228
50.63.243.229
tcp/80
OCSP ocsp.godaddy.com
ocsp.starfieldtech.com
72.167.18.239
72.167.239.239
188.121.36.239
182.50.136.239
50.63.243.230
tcp/80

Die in dieser Tabelle gemachten Angaben können sich im Zuge der Erweiterung unserer Dienste ändern.


War dieser Artikel hilfreich?
Vielen Dank für deine Vorschläge. Um mit einem Mitarbeiter unsere Kundenservice zu sprechen, nutze bitte die Telefonnummer des Support oder die Chat-Option oben.
Gern geschehen! Können wir sonst noch etwas für Sie tun?
Tut uns leid. Teile uns mit, was unklar war, und warum diese Lösung nicht zur Behebung des Problems geführt hat.