Validierungsdienst

Ein Validierungsdienst, auch Validation Authority (VA) genannt, ist ein Dienstleister, der die Gültigkeit eines X.509-Zertifikats aus einer Public-Key-Infrastruktur (PKI) überprüft.

Ablauf der Prüfung und Einschränkungen

In der einfachsten Form benutzt ein Validierungsdienst die Zertifikatsperrliste, auch certificate revocation list (CRL) genannt. Hierbei wird eine Liste von einer öffentlichen URL geladen und die Seriennummer des Zertifikats, das geprüft werden soll, in dieser Liste gesucht. Ist es vorhanden, ist das Zertifikat gesperrt, andernfalls ist es gültig.

Das Datenformat der Zertifikatsperrliste ist standardisiert. Die zweite Generation enthalten wesentlich mehr Informationen über ein gesperrtes Zertifikat, z. B. den Sperrgrund oder den Aussteller des Zertifikats. Über das CRL-Datenformat ist es nicht möglich eine zukünftige Sperrung anzukündigen (etwa wenn ein Zertifikatswechsel vorgezogen wird).

CRLs werden in der Regel in regelmäßigen Abständen aktualisiert, meist nur ein oder zwei Mal am Tag. D. h., es gibt hierbei eine relativ hohe Ungenauigkeit bei der Statusabfrage eines Zertifikats. Dafür können CRLs lokal zwischengespeichert werden und ermöglichen somit die Offline-Abfrage eines Zertifikatsstatus.

Das Online Certificate Status Protocol (OCSP) bietet die Möglichkeit, eine gezielte zeitnahe Statusüberprüfung durchzuführen ohne komplette Zertifikatslisten importieren zu müssen. Außerdem soll jede Statusänderung eines Zertifikats sofort im OCSP-Dienst veröffentlicht werden. Allerdings basieren manchen Implementierungen eines OCSP-Responder auf einer Sperrliste und liefert daher keine aktuelleren Sperrinformationen als diese. OSCP besitzt Durchlaufzeitoptimierungen im Antwortverhalten in Folge dessen, dass nur die Abfrage per Zertifikatsperrliste gesicherte Ergebnisse liefert. Das Server-based Certificate Validation Protocol (SCVP) kann zusätzlich zum OCSP auch die Zertifikatskette selber ermitteln.

Letztendlich ist durch vielfältige funktionale Einschränkungen nur eine vergangenheitsbezogene gesicherte Aussage möglich.

Einsatzzweck

Früher waren Anwendungen, die Zertifikate aus der Public-Key-Infrastruktur unterstützen, selten. Insbesondere bei der Qualifizierten elektronische Signatur gab es früher oft Fälle, in der beim Empfänger kein System vorhanden war, um für ein empfangenes Dokument mit elektronischer Signatur zu prüfen, ob die darin enthaltende elektronische Signatur gültig ist. In solchen Fällen wurde auf einen Dienstleister ausgewichen, der u. a. einen Validierungsdienst betrieb und dem Auftraggeber ein Prüfprotokoll zugesendet hat, dass dann zu archivieren war.