DEFREN

Login und Suche



CH Open Sponsoren

Camptocamp SA - /ch/open-Sponsor

Stets im Bild über gesperrte Zertifikate

28.04.2011 | von Pascal Buchbinder

Ein Open-Source-Tool für den Apache Webserver prüft Zertifikate auf Sperrung und Widerruf und lädt dazu von den Zertifizierungsstellen laufend die aktuellen Sperrlisten.

Die Benutzerauthentisierung mit Zertifikaten erfreut sich regen Interesses, nicht zuletzt dank der SuisseID. Zertifikate können gesperrt oder widerrufen werden, wenn die zugehörigen Schlüssel nicht mehr sicher sind, etwa weil ein Benutzer seinen Schlüssel verloren hat, oder der Zertifikats-Inhalt nicht mehr stimmt, zum Beispiel weil ein Benutzer seinen Namen geändert hat. Damit ungültige Zertifikate erkannt und entsprechend der Zugriff auf den Webserver verweigert werden kann, müssen aktuelle Informationen über gesperrte und widerrufene Zertifikate verfügbar sein. Diese können online via OCSP (Online Certificate Status Protocol) oder in Form von Zertifikatssperrlisten (engl. Certificate Revocation List / CRL) bezogen werden. Die Zertifizierungsstellen bieten täglich Updates ihrer Zertifikatssperrlisten an, zum Teil sogar mehrmals pro Tag.

Für den zeitnahen Bezug der Zertifikatssperrlisten ist mit mod_sslcrl nun ein Zusatz-Modul für den Apache Webserver erhältlich. Im Unterschied zum Apache-Standardmodul mod_ssl prüft mod_sslcrl nicht nur jedes Benutzerzertifikat gegen die Zertifikatssperrlisten, sondern aktualisiert diese auch laufend. mod_sslcrl stellt damit sicher, dass der Webserver Sperrungen und Widerrufe von Zertifikaten zeitgerecht umsetzt.

Das Modul mod_sslcrl wurde von Mitarbeitern der AdNovum entwickelt und ist via die Seite opensource.adnovum.ch im Download erhältlich.



Twitter Feed







Links

Über unsNewsletterKontaktNutzungsbedingungenCH Open Initiativen