Wenn eine Sperrprüfung für ein Zertifikat durchgeführt wird und sich keine CRL (Certificate Revocation List) im Cache des Clients befindet, so muss immer die gesamte Basis CRL Liste sowie eine Delta Sperrliste heruntergeladen werden. (siehe Sperrlisten und Certificate Chaining Prozess)
Je länger eine CA in Betrieb ist, desto länger werden die Listen und desto häufiger könnte es bei der Sperrprüfung zu Verzögerungen kommen.
Außerdem besteht bei herkömmlichen CRLs das Aktualitätsproblem: Werden Zertifikate zwischen Sperrlistenveröffentlichungsintervallen gesperrt, so kann die Ungültigkeit erst bei der nächsten Prüfung der aktualisierten Sperrliste durchgeführt werden und nicht in Echtzeit.
Bei der Verwendung von Online Respondern, die mit dem OCSP (Online Certificate Status Protocol) Protokoll arbeiten, werden dagegen in Echtzeit nur gezielte Abfragen über den Status bestimmter Zertifikate gemacht.
Nachteil: OCSP wurde von Microsoft erst mit Server 2008 eingeführt – sowohl Windows XP als auch Server 2003, sowie ältere Clients z.B. Linux/Unix basierte Thin/Zero Clients unsterstüzen die OCSP Validierung nicht nativ.
Für maximale Kompatibilität sollte man in Windows Umgebung daher klassiche CRL und Delta CRL Sperrlisten einsetzen – für maximale Sicherheit dagegen klassische CRL und OCSP.
Der Pfad zum Online Responder wird in die AIA Extension der Zertifikate eingetragen. siehe auch Aufbau digitaler Zertifikate
Erweiterte Kompatibilitätsübersicht von OCSP mit Browsern und Betriebssystemen (Stand Februar 2011)
Adrian Dimcev’s Blog
Speedvergleich OCSP komerzieller CAs – sowie IPv6 Compatibility
OCSP and CRL Performance Report
Vgl. auch Fischer, Daniel et al.: „Zertifikatskontrolle mit OCSP-Proxies“ in IX 10/2008, S.120-121.
