Der Zertifikatswiderruf ist der Prozess, ein SSL-Zertifikat vor seinem Ablaufdatum ungueltig zu machen — in der Regel, weil der private Schluessel kompromittiert wurde, das Zertifikat fehlerhaft ausgestellt wurde oder sich der Domainbesitz geaendert hat.
Theoretisch ist der Widerruf die Methode, mit der das CA-System Notfaelle behandelt. In der Praxis ist er der schwaechste Teil der PKI-Infrastruktur. Hier erfahren Sie warum — und was ihn ersetzt.
Wann ein Zertifikat widerrufen werden sollte
- Privater Schluessel kompromittiert — geleakt, gestohlen oder offengelegt (z. B. in ein oeffentliches Git-Repository uebertragen)
- Zertifikat fehlerhaft ausgestellt — CA hat ein Zertifikat fuer eine Domain ausgestellt, die Sie nicht kontrollieren
- Domain verkauft — Sie besitzen die Domain, die das Zertifikat abdeckt, nicht mehr
- Schluesselwechsel — Sie rotieren Schluessel und moechten das alte Zertifikat ungueltig machen
- Server ausser Betrieb genommen — das Zertifikat sollte nicht mehr gueltig sein
Wie der Widerruf funktioniert
CRL (Certificate Revocation List)
Der urspruengliche Widerrufsmechanismus. Die CA veroeffentlicht eine Liste aller widerrufenen Zertifikatsseriennummern. Browser laden die Liste herunter und gleichen sie ab.
Probleme:
- CRLs werden mit der Zeit sehr gross (Millionen von Eintraegen)
- Browser muessen die gesamte Liste herunterladen, bevor sie ein Zertifikat ueberpruefen koennen
- Langsam und bandbreitenintensiv — die meisten Browser haben vor Jahren aufgehoert, CRLs zu pruefen
OCSP (Online Certificate Status Protocol)
Eine Echtzeit-Pruefung. Anstatt eine Liste herunterzuladen, fragt der Browser den OCSP-Server der CA: “Ist dieses Zertifikat widerrufen?”
Funktionsweise:
Browser → OCSP Responder: "Ist Zertifikat Nr. #12345 noch gueltig?"
OCSP Responder → Browser: "Gut" / "Widerrufen" / "Unbekannt"
Probleme:
- Datenschutz — die CA weiss, welche Websites Sie besuchen (sie sieht jede OCSP-Anfrage)
- Latenz — fuegt jeder neuen HTTPS-Verbindung einen Netzwerk-Roundtrip hinzu
- Verfuegbarkeit — wenn der OCSP-Responder nicht erreichbar ist, fuehren Browser in der Regel ein Soft-Fail durch (akzeptieren das Zertifikat trotzdem), was den Widerruf unwirksam macht
OCSP Stapling (die Verbesserung)
Der Server ruft die OCSP-Antwort periodisch ab und “heftet” sie an den TLS-Handshake. Der Browser erhaelt den Widerrufsstatus, ohne die CA kontaktieren zu muessen.
Vorteile:
- Kein Datenschutzleck (der Browser kontaktiert die CA nicht)
- Keine zusaetzliche Latenz (Antwort ist im Handshake enthalten)
- Funktioniert auch, wenn der OCSP-Server der CA langsam oder nicht erreichbar ist
Konfiguration:
Nginx:
ssl_stapling on;
ssl_stapling_verify on;
resolver 8.8.8.8 8.8.4.4 valid=300s;
resolver_timeout 5s;
Apache:
SSLUseStapling on
SSLStaplingCache "shmcb:/var/run/apache2/ssl_stapling(128000)"
CRLite (die Zukunft)
Mozillas CRLite komprimiert alle bekannten Widerrufe in einen kompakten Filter (~1,5 MB), der mit Firefox-Updates ausgeliefert wird. Der Browser kann den Widerrufsstatus lokal pruefen — keine Netzwerkanfrage, kein Datenschutzleck, keine Latenz. Stand 2026 ist CRLite in Firefox aktiviert und koennte von anderen Browsern uebernommen werden.
Die harte Wahrheit ueber den Widerruf
Der Widerruf ist in der Praxis groesstenteils defekt:
- Chrome prueft standardmaessig weder OCSP noch CRL (verlaesst sich auf eigene CRLSets — eine kuratierte Teilmenge)
- Safari prueft OCSP, fuehrt aber ein Soft-Fail durch (akzeptiert Zertifikate, wenn der OCSP-Server nicht erreichbar ist)
- Firefox verwendet CRLite (der beste Ansatz, aber nur in Firefox)
- OCSP-Soft-Fail bedeutet, dass ein entschlossener Angreifer die OCSP-Pruefung blockieren kann und der Browser ein widerrufenes Zertifikat akzeptiert
Deshalb setzt die Branche zunehmend auf kurzlebige Zertifikate als primaere Verteidigung:
| Ansatz | Wie er schuetzt |
|---|---|
| Widerruf (OCSP/CRL) | Ein kompromittiertes Zertifikat ungueltig machen — aber die Pruefung ist unzuverlaessig |
| Kurze Gueltigkeit (90 Tage → 47 Tage) | Kompromittiertes Zertifikat laeuft schnell ab — keine Pruefung erforderlich |
Wenn ein Zertifikat nur 47 Tage gueltig ist, ist ein gestohlener Schluessel hoechstens 47 Tage nuetzlich. Das begrenzt den Schaden, selbst wenn der Widerruf nicht funktioniert.
Wie man ein Let’s Encrypt-Zertifikat widerruft
Wenn Ihr privater Schluessel kompromittiert wurde:
# Mit Certbot
sudo certbot revoke --cert-path /etc/letsencrypt/live/yourdomain.com/cert.pem --reason keycompromise
# Mit acme.sh
acme.sh --revoke -d yourdomain.com
Nach dem Widerruf sofort ein neues Zertifikat anfordern — der Widerruf behebt nicht das Problem, er macht nur das alte Zertifikat ungueltig. Verwenden Sie GetHTTPS, um ein neues Zertifikat mit einem neuen Schluesselpaar auszustellen.
Haeufig gestellte Fragen
Sollte ich OCSP Stapling aktivieren?
Ja. Es garantiert keine Widerrufspruefung (Browser koennen es ignorieren), aber es ist insgesamt positiv: schnellerer TLS-Handshake (keine clientseitige OCSP-Abfrage), besserer Datenschutz (der Browser kontaktiert die CA nicht) und einige Browser beruecksichtigen gestapelte OCSP-Antworten. Die Aktivierung ist kostenlos — Nginx und Apache unterstuetzen es mit 2-3 Zeilen Konfiguration.
Wie schnell wird ein Widerruf wirksam?
CRLs werden periodisch veroeffentlicht (Stunden bis Tage). OCSP-Antworten werden gecacht (typischerweise 1-4 Stunden). In der Praxis kann ein widerrufenes Zertifikat fuer einige Browser bis zu 24 Stunden “gueltig” bleiben. Das ist ein weiterer Grund, warum kurzlebige Zertifikate den Widerruf als primaere Verteidigung ersetzen.
Muss ich bei der Erneuerung widerrufen?
Nein. Das Anfordern eines neuen Zertifikats erfordert nicht den Widerruf des alten. Das alte Zertifikat laeuft einfach ab. Ein Widerruf ist nur erforderlich, wenn der private Schluessel kompromittiert wurde — nicht bei der routinemaessigen Erneuerung.
Kann ich pruefen, ob ein Zertifikat widerrufen wurde?
# OCSP-Status pruefen
openssl s_client -connect yourdomain.com:443 -servername yourdomain.com -status 2>/dev/null | grep "OCSP Response Status"
# "successful" = OCSP Stapling funktioniert
# Wenn leer, ist Stapling nicht aktiviert
Oder pruefen Sie crt.sh — widerrufene Zertifikate sind in der Oberflaeche markiert.