In der DFN-PKI gibt es ein neues Zertifikatprofil: Webserver MustStaple.

Zertifikate aus diesem Profil sind ganz speziell für den Einsatz auf Webservern vorgesehen, die OCSP-Stapling unterstützen. Die Zertifikate signalisieren über eine besondere Erweiterung jedem prüfenden Client, dass sie ausschließlich zusammen mit einer über Stapling übertragenen OCSP-Response eingesetzt werden. Fehlt die OCSP-Response, z.B. weil sie von einem Angreifer blockiert wurde, soll der Client die Verbindung abbrechen.

In den Webservern, in denen die Zertifikate eingesetzt werden, muss daher unbedingt die OCSP-Stapling-Funktion aktiviert sein. Im Microsoft IIS ist diese per Voreinstellung aktiviert.

Für Apache finden Sie in folgendem Beitrag Konfigurationshinweise:  https://blog.pki.dfn.de/2015/03/mehr-privacy-fuer-den-nutzer-ocsp-stapling/

Für nginx: https://blog.pki.dfn.de/2015/06/ocsp-stapling-in-nginx/

Der Mechanismus schützt Nutzer dagegen, dass ein Angreifer einen Webserver mit einem gesperrten Zertifikat spooft (also nachmacht) und die Abfrage des Sperrstatus durch die Clients blockiert.

Aber Achtung: Auch beim Einsatz auf falsch konfigurierten oder ungeeigneten Webservern wird die Verbindung von konformen Clients abgewiesen.

Das Zertifikatprofil „Webserver MustStaple“ kann ausschließlich vom Teilnehmerservice nach der Beantragung durch den Serveradministrator gesetzt werden.

Die zugrunde liegende Spezifikation ist RFC7633. Die Zertifikate enthalten eine sogenannte „TLS Feature Extension“ mit Wert „status_request“.

(jbr, 30.03.2016)