Validierung von Zertifikaten

Wenn eine Zertifizierungsstelle ein Zertifikat vor Ablauf der angegebenen Gültigkeit widerrufen will, dann trägt sie die Seriennummer des Zertifikats auf einem Validierungsserver in eine Widerrufliste (Certificate Revocation List) ein.

Validierungsserver können auf drei Arten genutzt werden:

• Einerseits kann in regelmäßigen Abständen (z. B. einmal pro Woche) die komplette Certificate Revocation List (CRL) im standardisierten Datenformat heruntergeladen werden. Wer dieses Verfahren verwendet, erfährt möglicherweise erst nach Tagen, dass ein Zertifikat widerrufen ist.

• Andererseits kann während der Gültigkeitsprüfung eines Zertifikat die Seriennummer an den Server übermittelt werden, der dann mitteilt, ob das Zertifikat noch gültig ist: Online Certificate Status Protocol (OCSP).

• Besser noch liefert der Server mit seiner Antwort gleich die entsprechende aktuelle von der Zertifizierungsstelle signierte und mit Zeitstempel versehene OCSP-Antwort mit: OCSP Stapling.

Adressen zum CRL-Download stehen als zusätzliche Angaben in den ausgestellten Zertifikaten, die OCSP-Adresse im Zertifikat der Zertifizierungsstelle. Dies ermöglicht die vollautomatische Nutzung der Validierungsmechanismen. CRLs können aber auch halbautomatisch oder manuell genutzt werden.

Aus Aktualitätsgründen verweisen die Links in der Tabelle unten direkt auf die Validierungsserver der für die Zertifikate der CA relevanten Zertifizierungsstellen.

Wenn Sie eine CRL über diesen Weg importieren, wird Ihr WWW-Programm wahrscheinlich regelmäßig von der gleichen Adresse die neueste Version nachladen.

Bei Klick auf Import sollte das im Binärformat übertragene Zertifikat automatisch in Ihr WWW-Programm übernommen werden. Bei Klick auf Text wird der Schlüssel im PEM-Format zum Abspeichern heruntergeladen.

PDF-Zertifikate

	PDF-CA (Wurzel-CA)
Now ↑ 2022	Import (.crl)

„TCS“-Zertifikate

	Zwischen-CA	Wurzel-CA	Alternative Wurzel-CA
Jetzt ↑ 2025	User-RSA-Zertifikate: GEANT S/MIME RSA Import (.crl) HARICA S/MIME RSA Import (.crl)	HARICA Client RSA Root CA 2021 Import (.crl)
	Server-RSA-Zertifikate: GEANT TLS RSA Import (.crl) HARICA OV TLS RSA Import (.crl)	HARICA TLS RSA Root CA 2021 Import (.crl)	Hellenic Academic and Research Institutions RootCA 2015 Import (.crl)
	User-ECC-Zertifikate: GEANT S/MIME ECC Import (.crl) HARICA S/MIME ECC Import (.crl)	HARICA Client ECC Root CA 2021 Import (.crl)
	Server-ECC-Zertifikate: GEANT TLS ECC Import (.crl) HARICA OV TLS ECC Import (.crl)	HARICA TLS ECC Root CA 2021 Import (.crl)	Hellenic Academic and Research Institutions ECC RootCA 2015 Import (.crl)
	Zwischen-CA	Wurzel-CA	Alternative Wurzel-CA
2025 ↑ 2021	User-RSA-Zertifikate: GEANT Personal CA 4 Import (.crl)	USERTrust RSA Certification Authority Import (.crl)	AAA Certificate Services Import (.crl)
	User-eScience-RSA-Zertifikate: GEANT eScience Personal CA 4 Import (.crl)
	Code-Signing-RSA-Zertifikate: GEANT Code Signing CA 4 Import (.crl)
	Server-RSA-Zertifikate: GEANT OV RSA CA 4 Import (.crl)
	Server-eScience-RSA-Zertifikate: GEANT eScience SSL CA 4 Import (.crl)
	Server-RSA-Zertifikate per ACME: Sectigo RSA Organization Validation Secure Server CA Import (.crl)
	User-ECC-Zertifikate: GEANT Personal ECC CA 4 Import (.crl)	USERTrust ECC Certification Authority Import (.crl)
	User-eScience-ECC-Zertifikate: GEANT eScience Personal ECC CA 4 Import (.crl)
	Server-ECC-Zertifikate: GEANT OV ECC CA 4 Import (.crl)
	Server-eScience-ECC-Zertifikate: GEANT eScience SSL ECC CA 4 Import (.crl)
	Server-ECC-Zertifikate per ACME: Sectigo ECC Organization Validation Secure Server CA Import (.crl)

„Global“-Zertifikate

	CA Uni MS	DFN-PCA	Wurzel-CA
2022 ↑ 2016	Import (.crl) Text (.txt) Text (.pem)	Import (.crl) Text (.txt) Text (.pem)	T-TeleSec GlobalRoot Class 2 Import (.crl)