%brandDTD; ]>
Ein Zertikat ist das digitale Gegenstück zu einer ID-Karte. Genauso wie Sie mehrere ID-Karten für verschiedene Zwecke haben können, wie einen Führerschein, eine Beschäftigungs-ID-Karte oder eine Kreditkarte, können Sie auch mehrere verschiedene Zertifikate besitzen, die Sie für verschiedene Zwecke identifizieren.
Dieser Abschnitt beschreibt, wie verschiedene auf Zertifikate bezogene Operationen durchgeführt werden.
Ähnlich wie eine Kreditkarte oder ein Führerschein ist ein Zertifikat eine Form der Identifikation, die Sie nutzen könenn, um sich selbst über das Internet oder andere Netzwerke zu identifizieren. Wie andere häufig genutzte persönliche Identifikationen, wird ein Zertifikat typischerweise von einer Organisation mit einer anerkannten Autorität, solche Identifikation auszustellen, ausgegeben. Eine Organisation, die Zertifikate ausstellt, wird als Zertifizierungsstelle (certificate authority (CA)) bezeichnet.
Sie können Sie identifizierende Zertifikate von öffentlichen CAs, System-Administratoren, speziellen CAs innerhalb Ihrer Organisation oder von Webseiten erhalten, die eine verläßlichere Art der Identifikation als Ihren Namen und Ihr Passwort erfordern.
Genauso wie die Erfordernisse für einen Führerschen in Abhängigkeit von dem Fahrzeugtyp variieren, das Sie fahren möchten, sind auch die Erfordernisse zum Erhalt eines Zertifikates abhängig davon, wofür Sie es benutzen möchten. In einigen Fällen kann der Erhalt des Zertifikates so einfach sein wie der Besuch einer Webseite, Eingabe einiger persönlicher Informationen und dem automatischen Abruf des Zertifikats in Ihren Browser. In anderen Fällen müssen Sie einen komplizierteren Prozess durchlaufen.
Heute können Sie ein Zertifikat erhalten, indem Sie die URL einer Zertifizierungsstelle aufsuchen und den Online-Anweisungen folgen. Wegen einer Liste von Zertifizierungsstellen welche von &brandShortName; erkannt werden, siehe das Online-Dokument Inkludierte Client-Zertifikate.
Sobald Sie ein Zertifikat erhalten, wird es automatisch in einer Sicherheitseinrichtung gespeichert. Ihr Browser hat bereits seine eigene eingebaute Software-Sicherheitseinrichtung. Eine Sicherheitseinrichtung kann auch ein Stück Hardware sein, wie z. B. eine Smart-Card.
Wie ein Führerschein ode eine Kreditkarte ist ein Zertifikat eine wertvolle Form der Identifikation, die mißbraucht werden kann, wenn sie in die falschen Hände fällt. Sobald Sie ein Zertifikat erhalten haben, das Sie identifiziert, sollten Sie es auf zweierlei Art sichern: indem Sie eine Kopie erstellen und durch das Setzen Ihres Master-Passwortes.
Wenn Sie zum ersten Mal ein Zertifikat erhalten, könnten Sie aufgefordert werden, eine Kopie zu erstellen. Wenn Sie bisher noch kein Master-Passwort erstellt haben, werden Sie aufgefordert, eines zu erstellen.
Für ausführlicher Informationen über das Sichern eines Zertifikates und Setzen Ihres Master-Passwortes, siehe Ihre Zertifikate.
[Zurück zum Beginn des Abschnitts]
Wenn Sie irgendeine Webseite betrachten, informiert Sie das Schloss-Icon neben der rechten unteren Ecke des Fensters darüber, ob der gesamte Inhalt der Seite durch Verschlüsselung geschützt war, während sie von Ihrem Computer empfangen wurde.
Ein geschlossenes Schloss bedeutet, das die Seite während des Empfangs durch Verschlüsselung geschützt war. | |
Ein offenes Schloss bedeutet, das die Seite während des Empfangs nicht durch Verschlüsselung geschützt war. | |
Ein zerbrochenes Schloss bedeutet, das einige oder alle der Elemente innerhalb der Seite während des Empfangs nicht durch Verschlüsselung geschützt war, selbst wenn die äußerste HTML-Seite verschlüsselt war. |
Wegen weiterer Einzelheiten über den Verschlüsselungsstatus der Seite während des Empfangs klicken Sie auf das Schloss-Icon (oder öffnen Sie das Ansicht-Menü, wählen Seiten-Information und dann den Tab Sicherheit).
Der Tab Sicherheit der Seiten-Informationen bietet zwei Arten von Informationen:
Wichtig: Das Schloss-Icon beschreibt nur den Verschlüsselungs-Status der Seite, während sie von Ihrem Computer empfangen wurde. Wenn Sie benachrichtigt werden wollen, bevor Sie Informationen ohne Verschlüsselung senden oder empfangen, wählen Sie die entsprechenden SSL-Warnungs-Optionen. Siehe Datenschutz & Sicherheitseinstellungen - SSL wegen Einzelheiten.
[Zurück zum Beginn des Abschnitts]
Sie können den Zertifikat-Manger zur Verwaltung Ihrer Zertifikate nutzen. Zertifikate können auf der Festplatte Ihres Computers oder auf einer Smart-Card oder einer anderen, an Ihrem Computer angebrachten Sicherheitseinrichtung gespeichert werden.
Um den Zertifikat-Manager aufzurufen:
Wenn Sie den Zertifikat-Manager öffnen, werden Sie bemerken, das sich am oberen Rand des Fensters mehrere Tabs befinden. Der erste wird Ihre Zertifikate genannt, und er zeigt die Zertifikate an, die Ihr Browser oder Ihr Mailclient zu Ihrer Zertifizierung zur Verfügung hat. Ihre Zertifikate sind unter den Namen der Orgainisationen aufgeführt, von denen sie ausgegeben wurden.
Um eine Aktion mit einem oder mehrere Zertifikaten durchzuführen, klicken Sie auf den Eintrag für das Zertifikat (oder CmdStrg-Klick um mehr als ein Zertifikat auszuwählen), dann klicken Sie auf eine der Schaltflächen im unteren Bereich des Zertifikat-Manager Fensters. Jede der Schaltflächen öffnet ein weiteres Fenster, das Ihnen die Durchführung der jeweiligen Aktion gestattet. Klicken Sie auf den Hilfe-Button in jedem Fenster, um weitere Informationen über die Benutzung des jeweiligen Fensters zu erhalten.
Weiteren Einzelheiten wie Sie Ihre Zertifikate anzeigen und verwalten können finden Sie im Abschnitt Ihre Zertifikate.
[Zurück zum Beginn des Abschnitts]
Wenn Sie eine Email erstellen, können Sie Ihre digitale Signatur anhängen. Eine digitale Signatur erlaubt es den Empfängern der Nachricht zu verifizieren, das die Nachricht wirklich von Ihnen kommt und nicht verändert wurde, seitdem sie von Ihnen versandt wurde.
Jedes Mal, wenn Sie eine digital signierte Nachricht versenden, wird Ihr Verschlüsselungszertifikat automatisch in die Nachricht eingefügt. Dieses Zertifikat erlaubt es den Nachrichten-Empfängern, Ihnen verschlüsselte Nachrichten zu senden.
Einer der einfachsten Wege, das Verschlüsselungszertifikat von jemand anders zu erhalten, ist es, wenn diese Person Ihnen eine digital signierte Nachricht sendet. Der Zertifikat-Manager speichert die Zertifikate anderer Leute, wenn sie auf diesem Weg empfangen werden.
Um alle Zertifikate zu sehen, die andere Personen identifizieren und die dem Zertifikat-Manager zur Verfügung stehen, klicken Sie auf Personen im oberen Teil des Zertifikat-Manager-Fensters. Sie können jeder Person verschlüsselte Nachrichten senden, für die ein gültiges Zertifikat aufgeführt ist. Zertifikate sind unter den Namen der Organisationen aufgeführt, die diese Zertifikate ausgegeben haben.
Um Aktionen auf einem oder mehreren Zertifikaten auszuführen, wählen Sie den Eintrag für das Zertifikat (oder Cmd Strg-Klick um mehr als ein Zertifikat auszuwählen), dann klicken Sie auf eine der Schaltflächen im unteren Bereich des Zertifikat-Manager Fensters. Jede der Schaltflächen öffnet ein weiteres Fenster, das Ihnen die Durchführung der jeweiligen Aktion gestattet. Klicken Sie auf den Hilfe-Button in jedem Fenster, um weitere Informationen über die Benutzung des jeweiligen Fensters zu erhalten.
Weiteren Einzelheiten wie Sie Ihre Zertifikate anzeigen und verwalten können finden Sie in der Beschreibung des Personen-Tabs des Zertifikat-Managers.
[Zurück zum Beginn des Abschnitts]
Einige Webseiten oder Mail-Server benutzten Zertifikate, um sich selbst zu identifizieren. Solche Identifikation ist erforderlich, bevor die zwischen dem Server und Ihrem Computer (oder umgekehrt) übertragene Informationen verschlüsselt werden können, so dass niemand die Daten während der Übertragung lesen kann.
Wenn die URL einer Webseite mit https:// beginnt, verfügt die Webseite über ein Zertifikat. Wenn Sie solch eine Webseite aufsuchen und deren Zertifikat von einer CA ausgegeben wurde, die der Zertifikat-Manager nicht kennt oder der er nicht vertraut, werden Sie gefragt, ob Sie das Zertifikat der Webseite akzeptieren wollen. Wenn Sie ein neues Webseiten-Zertifikat akzeptieren, fügt der Zertifikat-Manager es zu seiner Liste von Webseiten-Zertifikaten hinzu.
Um alle Webseiten-Zertifikate zu sehen, die in Ihrem Browser verfügbar sind, klicken Sie auf das Tab Server am oberen Rand des Zertifikat-Manager-Fensters.
Um eine Aktion mit einem oder mehreren Zertifikaten durchzuführen, klicken Sie auf den Eintrag für das Zertifikat (oder CmdStrg-Klick um mehr als eins auszuwählen), dann klicken Sie auf eine der Schaltflächen im unteren Bereich des Zertifikat-Manager Fensters. Jede der Schaltflächen öffnet ein weiteres Fenster, das Ihnen die Durchführung der jeweiligen Aktion gestattet. Klicken Sie auf den Hilfe-Button in jedem Fenster, um weitere Informationen über die Benutzung des jeweiligen Fensters zu erhalten.
Weiteren Einzelheiten wie Sie Ihre Zertifikate anzeigen und verwalten können finden Sie in der Beschreibung des Server-Tabs des Zertifikat-Managers.
[Zurück zum Beginn des Abschnitts]
Wie andere allgemein genutzte Identifikations-Formen, wird ein Zertifikat von einer Organisation ausgestellt, die als dazu berechtigt anerkannt ist. Eine Organisation, die Zertifikate ausstellt, wird als Zertifizierungsstelle (certificate authority (CA)) bezeichnet. Ein Zertifikat, das eine Zertifikatsstelle identifiziert, wird als CA-Zertifikat bezeichnet.
Der Zertifikat-Manager hat normalerweise viele CA-Zertifikate gespeichert. Diese CA-Zertifikate erlauben es dem Zertifikat-Manager, Zertifkate zu erkennen und damit zu arbeiten, die von den entsprechenden CAs ausgestellt wurden. Die Anwesenheit eines CA-Zertifikates garantiert jedoch nicht, das den von der CA ausgegebenen Zertifikaten vertraut werden kann. Sie oder Ihr Systemadministrator müssen in Abhängigkeit von Ihren Sicherheitserfordernissen darüber entscheiden, welchen Arten von Zertifikaten Sie vertrauen.
Um alle in Ihrem Browser verfügbaren CA-Zertifikate anzuzeigen, klicken Sie auf das Tab Authorities am oberen Rand des Zertifikat-Manager-Fensters.
Um eine Aktion mit einem oder mehreren Ca-Zertifikaten durchzuführen, wählen Sie den Eintrag für das Zertifikat (oder CmdStrg-Klick um mehr als eins zu wählen), dann klicken Sie auf eine der Schaltflächen im unteren Bereich des Zertifikat-Manager Fensters. Jede der Schaltflächen öffnet ein weiteres Fenster, das Ihnen die Durchführung der jeweiligen Aktion gestattet. Klicken Sie auf den Hilfe-Button in jedem Fenster, um weitere Informationen über die Benutzung des jeweiligen Fensters zu erhalten.
Weiteren Einzelheiten wie Sie Ihre Zertifikate anzeigen und verwalten können finden Sie in der Beschreibung des Autoritäten-Tabs des Zertifikat-Managers.
[Zurück zum Beginn des Abschnitts]
Um alle Zertifikate anzusehen, welche in keine der anderen Kategorien passen, klicken Sie auf das Tab Sonstige im oberen Teil des Zertifikat-Manager Fensters.
Weiteren Einzelheiten wie Sie Ihre Zertifikate anzeigen und verwalten können finden Sie in der Beschreibung des Sonstige-Tabs des Zertifikat-Managers.
[Zurück zum Beginn des Abschnitts]
Eine Smart-Card ist ein kleines Gerät, ungefähr in der Größe einer Kreditkarte, das einen Mikroprozessor enthält und Informationen über Ihre Identität (wie Ihre privaten Schlüssel und Zertifikate) speichert und kryptografische Operationen durchführt.
Zur Benutzung einer Smart-Card benötigen Sie einen Smart-Card-Leser (ein Stück Hardware), der mit Ihrem Computer verbunden ist wie auch Softwarte auf Ihrem Computer, die den Leser steuert.
Eine Smart-Card ist einfach eine Sicherheitseinrichtung. Eine Sicherheitseinrichtung (manchmal als Token bezeichnet) ist eine Hardware- oder Software-Einrichtung, die kryptografische Dienste bereitstellt und Informationen über Ihre Identität speichert. Benutzen Sie den Geräte-Manager, um mit Smart-Cards und anderen Sicherheitseinrichtungen zu arbeiten.
Der Einrichtungs-Manager öffnet ein Fenster, das die verfügbaren Sicherheitseinrichtungen anzeigt. Sie können den Einrichtungs-Manager dazu verwenden, um beliebige Sicherheitseinrichtungen (einschließlich Smart-Cards) zu verwalten, die den Public Key Cryptography Standard (PKCS) #11 unterstützen.
Ein PKCS #11-Modul (manchmal als Sicherheitsmodul bezeichnet) steuert ein oder mehrere Sicherheitseinrichtungen genauso wie ein Software-Treiber ein externes Gerät wie einen Drucker oder ein Modem kontrolliert. Wenn sie eine Smart-Card installieren, müssen Sie sowohl das PKCS #11-Modul für die Smart-Card auf Ihrem Computer installieren als auch den Smart-Card-Leser verbinden.
Standardmäßig steuert dieser Tab zwei interne PKCS #11-Module, die drei Sicherheitseinrichtungen verwalten:
[Zurück zum Beginn des Abschnitts]
Der Einrichtungs-Manager gestattet es Ihnen, Aktionen an den Sicherheitseinrichtungen durchzuführen. Um das Tab zu öffnen, befolgen Sie folgende Schritte.
Kryptographie-Module verwalten....
Dieses Fenster zeigt jedes verfügbare PKCS #11-Modul in Fettschrift und die von jedem Modul verwalteteten Sicherheitseinrichtungen unter dem Namen des Moduls.
Wenn Sie eine Sicherheitseinrichtung selektieren, erscheinen Informationen darüber in der Mitte des Fensters, und einige der Schaltfläche rechts im Fenster werden aktiviert. Wenn Sie z. B. die Software-Sicherheitseinrichtung wählen, können Sie folgende Aktionen durchführen:
Sie können diese Aktion auf den meisten Sicherheitseinrichtungen anwenden, jedoch nicht auf dem Eingebauten Objekt-Token der Generischen Krypto-Dienste, da es sich um spezielle Sicherheitseinrichtungen handelt, die zu allen Zeiten verfügbar sein müssen.
Zu weiteren Einzelzeiten siehe Verwaltung von Sicherheitseinrichtungen.
[Zurück zum Beginn des Abschnitts]
Wenn Sie eine Smart-Card oder andere externe Sicherheitseinrichtung verwenden wollen, müssen Sie zuerst die Modul-Software auf Ihrem Computer installieren und, wenn nötig, die erforderliche Hardware verbinden. Befolgen Sie die Anweisungen, die mit der Hardware geliefert werden.
Nachdem ein neues Modul auf Ihrem Computer installiert ist, folgen Sie diesen Schritten, um es zu laden:
Kryptographie-Module verwalten....
Das neue Modul erscheint dann in der Liste der Module mit dem Namen, dem Sie ihm zugewiesen haben.
Um ein PKCS #11-Modul zu entladen, selektieren Sie dessen Namen und klicken Sie auf Entladen.
Federal Information Processing Standards Publications (FIPS PUBS) 140-1 ist ein Standard der US-amerikanischen Regierung über Implementationen von kryptografischen Modulen - das heißt Hard- oder Software, die Daten ver- und entschlüsselt oder andere kryptografische Operationen vornimmt (wie Erstellung oder Verifizierung digitaler Signaturen). Viele Produkte, die an die US-amerikanische Regierung verkauft werden, müssen einem oder mehreren FIPS-Standards entsprechen.
Um den FIPS-Modus für den Browser zu aktivieren, benutzen Sie den Einrichtungs-Manager:
Kryptographie-Module verwalten....
Um den FIPS-Modus zu deaktivieren, klicken Sie auf FIPS deaktivieren.
[Zurück zum Beginn des Abschnitts]
Das Protokoll Secure Sockets Layer (SSL) erlaubt es Ihrem Computer, Informationen mit anderen Computern über das Internet in verschlüsselter Form auszutauschen- d. h. die Information ist während der Übertragung zerhackt, so dass niemand sonst damit etwas anfangen kann. SSL wird auch benutzt, um Computer im Internet durch Zertifikate zu identifizieren.
Das Protokoll Transport Layer Security (TLS) ist ein neuer, auf SSL basierender Standard. Standardmäßig unterstützt der Browser sowohl SSL wie auch TLS. Dieser Weg funktioniert für die meisten Personen, weil er sicherstellt, dass der Browser mit wirklich jeder anderen Software im Internet zusammenarbeitet, die irgendeine Version von SSL oder TLS unterstützt.
Es kann jedoch unter Umständen vorkommen, das Systemadministratoren oder andere fähige Personen die SSL-Einstellungen anpassen möchten für spezielle Sicherheitsbedürfnisse oder um Fehlern in älteren Software-Produkten Rechnung zu tragen.
Sie sollten die SSL-Einstellungen für Ihren Browser nicht ändern, wenn Sie nicht genau wissen, was Sie tun oder Sie Hilfe von jemandem haben, die Ahnung davon hat. Wenn Sie aus irgendwelchen Gründen Änderungen vornehmen müssen, folgen Sie diesen Schritten:
Zu weiteren Einstellungen siehe SSL-Einstellungen.
[Zurück zum Beginn des Abschnitts]
Wie oben unter Erhalt Ihres eigenen Zertifikates diskutiert, ist ein Zertifikat wie ein Führerschein eine Form der Identifikation, die Sie benutzen können, um sich selbst über das Internet und andere Netzwerke zu identifizieren. Aber ähnlich wie ein Führerschein kann ein Zertifikat ablaufen oder aus anderen Gründen ungültig werden. Daher muss Ihre Browser-Software die Gültigkeit eines Zertifikates bestätigen können, bevor es ihm für Identifikationszwecke vertraut.
Dieser Abschnitt beschreibt, wie der Zertifikat-Manager Zertifikate validiert und wie dieser Prozeß gesteuert wird. Um den Prozeß zu verstehen, sollten Sie mit Public-Key-Kryptografie vertraut sein. Wenn Sie nicht mit der Benutzung von Zertifikaten vertraut sind, sollten Sie mit Ihrem Systemadministrator sprechen, bevor Sie versuchen, die Validierungs-Einstellungen Ihres Browsers zu ändern.
Wann immer Sie ein vom Zertifikat-Manager gespeichertes Zertifikat ansehen oder benutzen, unternimmt er verschiedene Schritte zur Validierung des Zertifikats. Zumindest bestätigt er, dass die digitale Signatur auf dem Zertifikat von einer CA erstellt wurde, deren eigenes Zertifikat (1) in der Liste des Zertifikats-Managers über verfügbare CA-Zertifikate enthalten ist und (2) als vertrauenswürdig markiert ist für die Ausstellung von Zertifikaten der Art, die verifiziert wird.
Wenn das CA-Zertifikat selbst nicht gespeichert ist, muss die Zertifikats-Kette für das CA-Zertifikat ein höheres CA-Zertifikat enthalten, das verfügbar ist und dem korrekt vertraut wird. Der Zertifikat-Manager stellt auch sicher, dass das verifizierte Zertifikat im Zertifikats-Speicher derzeit als vertrauenswürdig markiert ist. Wenn eine dieser Prüfungen versagt, markiert der Zertifikat-Manager das Zertifikat als unverifiziert und wird die dadurch zertifizierte Identität nicht anerkennen.
Ein Zertifikat kann alle diese Tests bestehen und trotzdem noch komprimittiert sein: Z. B. kann ein Zertifikat zurückgenommen worden sein, weil eine nicht berechtigte Person Zugriff auf den privaten Schlüssel des Zertifikats hat. Ein komprimittiertes Zertifikat kann einer unberechtigten Person (oder Webseite) erlauben, sich als der Zertifikat-Eigentümer auszugeben.
Eine Möglichkeit, dieser Bedrohung zu begegnen, ist es, das der Zertifikat-Manager als Teil des Verifizierungs-Prozesses eine Zertifikats-Rückruf-Liste (certificate revocation list (CRL)) überprüft (siehe CRLs verwalten, unten). Normalerweise speichern Sie eine CRL in Ihrem Browser durch Anwahl eines Links. Wenn eine CRL vorhanden ist, überprüft Zertifikat-Manager jedes Zertifikat, das von der gleichen CA ausgestellt wurde, als Teil des Validierungsprozesses.
Die Verläßlichkeit von CRLs hängt von der Frequenz ab, mit der sie von einem Server aktualisiert und vom Client überprüft werden. Sie können Ihre Automatischen CRL-Aktualisierungs-Einstellungen konfigurieren, so dass eine CRL regelmässig automatisch mit der aktuellen Version des Servers aktualisiert wird.
Eine andere Möglichkeit, um der Gefahr komprimittierter Zertifikate zu begegnen, ist es, einen speziellen Server zu nutzen, der das Online Certificate Status Protocol (OCSP) unterstützt. Solch ein Server kann Client-Anfragen über individuelle Zertifikate beantworten (siehe OCSP konfigurieren, unten).
Der Server, als OCSP-Responder bezeichnet, erhält periodisch eine aktualiserte CRL von der CA, die die zu verifizierenden Zertifikate ausgegeben hat. Sie können den Zertifikat-Manager so konfigurieren, das er eine Statusanfrage für ein Zertifikat an den OCSP-Responder sendet, und der OCSP-Responder bestätigt, ob das Zertifikat gültig ist.
[Zurück zum Beginn des Abschnitts]
Eine Zertifikat-Rückruf-Liste (certificate revocation list (CRL)) ist eine Liste zürückgenommener Zertifikate. Eine Zertifizierungsstelle (certificate authority (CA)) kann z. B. ein Zertifikat zurücknehmen, wenn es irgendwie komprimittiert wurde - so ähnlich, wie eine Kreditkartengesellschaft Ihre Kreditkarte zurückrufen kann, wenn diese gestohlen wurde.
Dieser Abschnitt beschreibt, wie Sie CRLs importieren und verwalten.
Zu Hintergrund-Informationen siehe Wie Validierung funktioniert.
Wegen detaillierter Beschreibungen der CRL-Einstellungen, die Sie anpassen können, siehe Validierungs-Einstellungen.
Nächste Update-Datum
Der Browser benutzt die ihm zur Verfügung stehenden CRLs, um die Gültigkeit von Zertifikaten zu prüfen, die von den entsprechenden CAs ausgestellt wurden. Wenn ein Zertifikat als zurückgenommen aufgeführt wird, akzeptiert der Browser dieses nicht mehr als Identitäts-Beweis.
Eine Zertifizierungsstelle veröffentlicht eine aktualisierte CRL in regelmäßigen Intervallen. Jede CRL enthält ein im Feld Nächstes Update angegebenes Datum, zu dem die Zertifizierungsstelle die nächste Aktualisierung der CRL veröffenlicht. Allgemein gesagt, wenn das Datum im Feld Nächstes Update vor dem aktuellen Datum liegt, sollten Sie die aktuellste Version der CRL abrufen. Um CRL-Informationen anzuzeigen und das automatisierte CRL-Aktualisieren einzustellen, siehe CRLs anzeigen und verwalten.
Zertifizierungsstelle sind verpflichtet, zum Datum Nächstes Update eine neue CRL zu produzieren. Die Abwesenheit der aktuellsten CRL bedeutet jedoch nicht, dass ein Zertifikat ungültig ist. Aus diesem Grund - falls die aktuellste CRL nicht verfügbar ist - kann ein Zertifikat gültig sein, obwohl die letzte CRL es als abgelaufen anzeigt. Automatisierte CRL-Aktualisierung kann helfen, diese Situation zu vermeiden.
Sie können die aktuellste CRL einer Zertifizierungsstelle in Ihren Browser importieren. Zum Import einer CRL folgen Sie diesen Schritten:
Die Dialogbox Import-Status erscheint.
Automatische Aktualisierungen für diese CRL aktivieren.
Sie können die dem Browser verfügbaren CRLs über die Validierungseinstellungen des Browsers anzeigen und verwalten:
Um eine CRL zu löschen oder zu aktualisieren, selektieren Sie diese und wählen die entsprechende Schaltfläche.
Um automatische Aktualisierungen für eine CRL einzustellen, selektieren Sie die CRL und wählen Einstellungen. Die Dialogbox Automatische CRL-Akualisierungs-Einstellungen erscheint:
Automatische Aktualisierungen für diese CRL aktivieren.
[Zurück zum Beginn des Abschnitts]
Die Einstellungen, die OCSP steuern, sind Teil der Validierungs-Einstellungen. Um die Validierungseinstellungen anzuzeigen, folgen Sie diesen Schritten:
Zu Informationen über die verfügbaren OCSP-Optionen siehe OCSP.