Neuigkeiten, Aktualisierungen, neueste Informationen

Die letzte Aktualisierung bringt Hintergrundverbesserungen


VCC Live OCSP Stapling

Ein schneller startender Client, weniger Datenverkehr und einfachere Firewall-Einstellungen: Das bringt unser neuestes Update.

Wir bei VCC Live arbeiten ständig daran, dass wir die Möglichkeiten unserer Softwares mit neuen Funktionen erweitern. Außerdem beschäftigen wir uns mit zahlreichen weiteren Verbesserungen: Wir bemühen uns unsere bereits vorhandenen Dienstleistungen noch schneller und besser zu machen. Eine solche Verbesserung haben wir auch bei unserem letzten größeren Client-Update veröffentlicht, welches durch den Umstieg auf das sogenannte OCSP (Online Certificate Status Protocol)-Stapling Leistungsverbesserungen bringt.

Damit der VCC-Live-Client eine sichere Internet-Kommunikation schaffen kann, verwendet er Verschlüsselungsprotokolle, im Falle des Clients das TLS 1.2 (Transport Layer Security) Protokoll. Diese Protokolle sind verantwortlich für die Verschlüsselung der Netzwerksverbindungssegmente. Für eine entsprechende Verschlüsselung werden allerdings gültige Zertifikate (X.509-Zertifikate) benötigt.

Deren Gültigkeit wurde von den Zertifizierungsstellen jedoch aus mehreren Gründen zurückgezogen, so zum Beispiel aufgrund von Hackerangriffen oder Informationslecks. Der VCC-Live-Client muss deshalb bei jedem Start die Gültigkeit der Zertifikate vom OCSP-Server der Zertifizierungsstelle abfragen (in diesem Fall ocsp.godaddy.com). Die Abfrage kann auf vielerlei Art und Weise erfolgen.

Eine Möglichkeit ist, dass das Gültigkeitsdatum in dem Zertifikat kontrolliert wird. Das ist die einfachste Art der Kontrolle, doch ist sie beileibe nicht 100% sicher. Es besteht auch die Möglichkeit, dass der Eigentümer des Zertifikats der Zertifizierungsstelle meldet, dass das jeweilige Zertifikat bereits ungültig ist. Die Zertifizierungsstellen können über OCSP-Protokolle die Information zugänglich machen, ob ein Zertifikat mit einer jeweiligen Nummer – anhand der in ihrem eigenen System vorhandenen Daten – gültig ist. Die Zertifikate haben auch ein Ablaufdatum, zu dessen Zurückziehung wir das Protokoll verwenden. Nach der Abfrage bewertet der Client in Abhängigkeit von der Antwort des OCSP-Servers das Zertifikat als akzeptiert oder abgelehnt.

Die gute Nachricht ist, dass das TLS-Protokoll unterstützt, dass die Zertifizierungsinformation direkt vom VCC-Server an den VCC-Client gegeben werden kann, wobei der Inhalt des OCSP unverändert und bestätigt bleibt. Diese Methode verwendet auch die jetzt eingeführte OCSP-Stapling-Lösung. Ab jetzt fragt der Server von VCC Live den OCSP-Server zur Richtigkeit des Zertifikats ab und fügt dann die vom Aussteller beglaubigt signierten Informationen der Kommunikation des Clients bei.

So wird der VCC-Live-Client von den OCSP-Abfragen befreit, wodurch er schneller startet und keinen überflüssigen Datenverkehr schafft. Und auch in den Firewalls des Unternehmens müssen keine zusätzlichen Ips/Ports zum OCSP-Server geöffnet werden – wie es bisher die von VCC angeforderte OCSP-Regel verlangte – wodurch die Einstellungen vereinfacht wurden. Die Firewall-Regel kann vom Systemadministrator ausgesetzt werden.