Diese Diplomarbeit zeigt das komplexe Thema der Zertifikatsstatusprufung auf. Sie liefert dem Information Security Management der UBS AG wichtige Aspekte uber die gangigen Mechanismen, mit denen die Zertifikatsstatusprufung vorgenommen werden kann.

Eine Moglichkeit zur Statusabfrage bietet die Certificate Revocation List (CRL) und das Online Certificate Status Protocol (OCSP). OCSP wurde vor allem fur die zeitnahe Statusprufung bei kritischen Transaktionen konzipiert, um eine Alternative zum bisherigen Sperrlisten-Verfahren (CRL) zu bieten. Im Vergleich zu statischen, periodisch veroffentlichten CRLs ermoglicht OCSP eine dynamische Abfrage des aktuellen Sperrstatus eines einzelnen Zertifikats. Diese Antworten werden signiert und zwar von einem zwischengeschalteten OCSP-Server.

Die Diplomarbeit beschreibt, vergleicht und bewertet Leistungsmerkmale und Einsatzszenarien von CRL und OCSP. Die Moglichkeiten wie die Antworten des OCSP-Servers signiert werden konnen, bilden einen weiteren Schwerpunkt. Denn die strengen Vorgaben fur die Verwendung der Signing Keys im OCSP Standard fuhren zu einem manuellen Key-Management, welches in der UBS eigentlich nicht praktikabel ist. Wahrend unseren Recherchen uber die Signaturproblematik von OCSP sind wir auf ein weiteres Protokoll gestossen. Das Protokoll heisst Simple Certificate Validation Protocol (SCVP). Dieses weist neben der reinen Statusuberprufung noch weitere Funktionen auf. Da es in der Frage der Server-Signatur offener und flexibler ist, konnte es das Problem der Signatur losen. Es ist aber noch kein Standard, sondern erst in einem Internet-Draft spezifiziert.

Mit dem Resultat unserer Diplomarbeit existiert nun ein Losungsvorschlag fur die UBS. Die Losung konnte in Erwagung gezogen werden, sobald das Protokoll SCVP von der IETF zum Standard erklart wird und in Form von Client- und Serverimplementierungen Verbreitung findet.