So zeigen Sie eine Zertifikatssperrliste an und überprüfen sie

Zu wissen, dass ein Zertifikat widerrufen wurde, ist nur dann von Nutzen, wenn man dies auch tatsächlich überprüfen kann. Ganz gleich, ob Sie einen TLS beheben, die Widerrufsinfrastruktur Ihrer Zertifizierungsstelle prüfen oder den Status eines Zertifikats in einer CI/CD-Pipeline validieren – die Fähigkeit, eine Zertifikatswiderrufsliste (CRL) zu finden, herunterzuladen und zu überprüfen, gehört zu den Kernkompetenzen im Bereich PKI.

Diese Anleitung führt Sie Schritt für Schritt durch den gesamten Prozess: das Auffinden des CRL-Verteilungspunkts (CDP) in einem Zertifikat, das Herunterladen und Auslesen der CRL mit OpenSSL, Windows und EJBCA sowie die Interpretation der Ergebnisse. Wenn Sie zunächst eine konzeptionelle Grundlage benötigen, lesen Sie den Artikel„Was ist eine CRL?“.

Warum Sie wissen müssen, wie man eine CRL überprüft

Die Überprüfung der CRLs ist ein wesentlicher Schritt bei einer PKI-basierten Transaktion, da dadurch die Identität des Website-Betreibers überprüft und festgestellt wird, ob das zugehörige Zertifikat vertrauenswürdig ist. Wenn Sie nicht bestätigen können, dass ein Zertifikat noch gültig ist, können Sie der Verbindung, die es sichert, nicht vertrauen.

Für PKI-Administratoren bedeutet dies, dass sie die Überprüfung von Sperrungen nicht nur auf konzeptioneller, sondern auch auf operativer Ebene verstehen müssen. Für DevOps-Ingenieure, die die Zertifikatsvalidierung in automatisierte Arbeitsabläufe integrieren, bedeutet dies, dass sie wissen müssen, welche Befehle auszuführen sind, welche Ausgabe zu erwarten ist und wie sie auf die Ergebnisse reagieren müssen.

Wenn Sie genauer erfahren möchten, wie sich CRLs von OCSP unterscheiden und wann welche Methode zum Einsatz kommen sollte, lesen Sie den Artikel„Certificate Revocation List (CRL) vs. Online Certificate Status Protocol (OCSP): Was Sie wissen müssen“. Einen umfassenden Überblick über CRLs finden Sie in unserem Leitfaden zum Thema„Was ist eine Zertifikatssperrliste?“.

Was braucht man, um eine CRL zu überprüfen?

Um eine CRL zu überprüfen, benötigen Sie zwei Dinge:

1. Die URL zur CRL.Diese finden Sie in der Erweiterung „CRL Distribution Points“ des Zertifikats, das Sie überprüfen möchten. Jedes X.509-Zertifikat, das die CRL-Prüfung unterstützt, enthält eine oder mehrere CDP-URLs, die auf den Ort verweisen, an dem die ausstellende Zertifizierungsstelle ihre Sperrliste veröffentlicht.
2. Ein Tool zum Anzeigen der CRL.Zu den gängigen Optionen gehören OpenSSL (Linux/macOS), das Windows-Tool „certutil“, die in Ihrem Browser integrierte Zertifikatsanzeige oder eine CA-Verwaltungsoberfläche wie EJBCA.

So finden Sie die CRL-Verteilungsstelle in einem Zertifikat

Bevor Sie eine CRL herunterladen können, müssen Sie die CDP-URL aus dem Zertifikat extrahieren. Hier erfahren Sie, wie das in einem Browser und über die command funktioniert.

So finden Sie das CDP in Ihrem Browser

Chrome und Edge:

1. Rufen Sie die HTTPS-Website auf, deren Zertifikat Sie überprüfen möchten.
2. Klicken Sie auf das Vorhängeschloss-Symbol (oder das Notensymbol) in der Adressleiste.
3. Wählen Sie„Verbindung ist sicher“ aus und klicken Sie anschließend auf„Zertifikat ist gültig“.
4. Öffnen Sie im Zertifikats-Viewer die Registerkarte„Details“.
5. Scrollen Sie nach unten zum Feld„CRL-Verteilungspunkte“. Der Wert enthält eine oder mehrere URLs, unter denen die Zertifizierungsstelle ihre CRL veröffentlicht.

Firefox:6. Klicken Sie auf das Vorhängeschloss-Symbol in der Adressleiste. 7. Wählen Sie„Verbindung ist sicher“ aus und klicken Sie anschließend auf„Weitere Informationen“. 8. Klicken Sie auf„Zertifikat anzeigen“. 9. Suchen Sie in den Zertifikatsdetails nach dem Feld „CRL-Verteilungspunkte“. Firefox zeigt die CRL-URLs direkt im Zertifikatsbetrachter an.

Den CDP mit OpenSSL ermitteln

Wenn Sie das Zertifikat als PEM-Datei vorliegen haben, extrahieren Sie das CDP mit einem einzigen command:

openssl x509 -in keyfactor-certificate.pem -noout -text | grep -A 4 "CRL Distribution Points" Die Ausgabe zeigt die URI(s) an, unter denen die Zertifizierungsstelle ihre CRL veröffentlicht. Beispiel:

X509v3 CRL Distribution Points:
     Full Name:
            http://c.pki.goog/we1/KLRFxSqxaMw.crl

Kopieren Sie diese URL für den nächsten Schritt.

So laden Sie eine CRL herunter und zeigen sie an
Herunterladen einer CRL vom CDP

Sobald Sie die CDP-URL haben, laden Sie die CRL-Datei mit „curl“ oder „wget“ herunter:

curl -o crl.der http://c.pki.goog/we1/KLRFxSqxaMw.crl

Am einfachsten ist es jedoch, die URL direkt in Ihren Webbrowser einzufügen – dann wird die CRL-Datei automatisch für Sie heruntergeladen.

CRL-Dateien werden in der Regel im DER-Format (binär) bereitgestellt. Falls Ihre Tools das PEM-Format erfordern, konvertieren Sie die Datei nach dem Herunterladen:

openssl crl -in crl.der -inform DER -outform PEM -out crl.pem

Anzeigen des CRL-Inhalts mit OpenSSL

Für eine DER-kodierte CRL:

openssl crl -in crl.der -inform DER -text -noout

Für eine PEM-verschlüsselte CRL:

openssl crl -in crl.pem -text -noout

Die Ausgabe enthält mehrere wichtige Felder:

• Aussteller: die Zertifizierungsstelle, die die CRL signiert und veröffentlicht hat
• Letzte Aktualisierung: zum Zeitpunkt der Erstellung der CRL
• Nächstes Update: wann die Veröffentlichung der nächsten CRL geplant ist
• CRL-Erweiterungen: optionale Felder zur Angabe zusätzlicher Informationen
• Widerrufene Zertifikate: eine Liste von Einträgen, die jeweils eine Seriennummer, das Widerrufsdatum und (optional) einen Grundcode enthalten

Certificate Revocation List (CRL):     Version 2 (0x1)     Signature Algorithm: ecdsa-with-SHA256     Issuer: C=US, O=Google Trust Services, CN=WE1     Last Update: Jun 18 08:21:38 2026 GMT     Next Update: Jun 28 07:21:37 2026 GMT     CRL extensions:         X509v3 Authority Key Identifier:              90:77:92:35:67:C4:FF:A8:CC:A9:E6:7B:D9:80:79:7B:CC:93:F9:38         X509v3 CRL Number:              5065         X509v3 Issuing Distribution Point: critical             Full Name:               URI:http://c.pki.goog/we1/KLRFxSqxaMw.crl             Only User Certificates  Revoked Certificates:     Serial Number: 8D91F2A7C4BE3D6217A8E5409B3C7F12         Revocation Date: Jun 16 23:44:08 2026 GMT     Serial Number: 1F5AC7D8E239B640A4C17E93D2F8B6A5         Revocation Date: Jun 16 23:44:11 2026 GMT     Serial Number: C7B84219F0D56AE3348C9127E5AB6D40         Revocation Date: Jun 17 19:44:02 2026 GMT     Serial Number: 2A4E8D6F91C3B750E7F1248AB5D93C61         Revocation Date: Apr  6 07:43:37 2026 GMT     Serial Number: B4F7E2A9136CD8507A8B14E2C59D7F03         Revocation Date: May 20 11:23:41 2026 GMT     Serial Number: 6E2B93D4A1F7085CC4E97A21D8B35F6A         Revocation Date: May 27 08:56:03 2026 GMT     Signature Algorithm: ecdsa-with-SHA256     Signature Value:         30:45:02:20:6a:7f:91:c3:e8:24:b1:5d:49:2e:73:8f:0c:57:         9a:de:14:63:28:b9:45:f1:7c:83:0a:dd:61:fe:32:8c:17:02:         21:00:d4:5b:8e:19:72:ac:f0:43:9d:61:b7:2e:c5:8a:34:ef:         7b:18:c2:4d:93:f6:a1:57:68:0f:3c:ba:51:9d:84

Jeder Eintrag in einer CRL enthält die Kennung des widerrufenen Zertifikats sowie das Datum des Widerrufs. Zu den optionalen Angaben gehören eine zeitliche Begrenzung, falls der Widerruf nur für einen bestimmten Zeitraum gilt, sowie der Grund für den Widerruf. Zu den gängigen Grundcodes zählen „Schlüsselkompromittierung“, „Entzug von Berechtigungen“ und „Einstellung des Betriebs“.

Anzeigen des CRL-Inhalts unter Windows

Windows bietet zwei Möglichkeiten zum Anzeigen von CRL-Dateien.

Verwendung von certutil:

certutil -dump crl.crl

Dadurch wird der Inhalt der CRL in einem strukturierten Format ausgegeben, einschließlich des Ausstellers, der Gültigkeitsdaten und der vollständigen Sperrliste, ähnlich wie bei der oben abgebildeten OpenSSL-Ausgabe.

Verwendung des Windows-CRL-Viewers:

Doppelklicken Sie auf eine .crl-Datei, um den integrierten Windows-CRL-Viewer zu öffnen. Die Benutzeroberfläche zeigt den Aussteller, das Gültigkeitsdatum, das Datum der nächsten Aktualisierung sowie eine durchsuchbare Liste der widerrufenen Zertifikate an.

So rufen Sie CRLs aus EJBCA ab

Wenn Ihre Organisation EJBCA Zertifizierungsstelle nutzt, können Sie CRLs direkt über die CA-Oberfläche generieren und herunterladen.

Verwendung der EJBCA -Benutzeroberfläche

1. Wählen Sie in der EJBCA im Menü den Eintrag„CA-Struktur & CRLs“ aus.
2. Um sofort eine neue CRL zu erstellen und zu veröffentlichen, klicken Sie auf„CRL erstellen“.
3. Um eine vorhandene CRL herunterzuladen, klicken Sie auf den Link„Herunterladen“neben der entsprechenden Zertifizierungsstelle.

Verwendung der EJBCA command

Eine neue CRL generieren:

bin/ejbca.sh ca createcrl <CA name>

Die aktuelle CRL abrufen:

bin/ejbca.sh ca getcrl

Sie können CRLs auch über die EJBCA abrufen, indem Sie„CA-Zertifikate und CRLs“auswählen und den Parameter „crlnumber“ angeben, um eine bestimmte CRL-Version herunterzuladen.

Video-Demo: So zeigen Sie eine Zertifikatssperrliste an und überprüfen sie

Eine visuelle Anleitung bietet der YouTube-Kanal Keyfactor Developers“ in Form eines Tutorials zum Abrufen von CRLs aus EJBCA, einschließlich der Frage, wo man CRLs findet, der besten Methoden zum Abrufen und der Konfiguration von CRL-Verteilungspunkten.

Wichtige Aspekte, auf die man bei der Überprüfung einer CRL achten sollte

Wenn Sie eine CRL öffnen, achten Sie besonders auf folgende Felder:

• Aussteller: Gibt die Zertifizierungsstelle an, die die CRL signiert und veröffentlicht hat. Vergewissern Sie sich, dass dies mit der von Ihnen erwarteten Zertifizierungsstelle übereinstimmt.
• „This Update“: Datum und Uhrzeit der Erstellung der CRL. Ein veraltetes Datum deutet hier darauf hin, dass die Zertifizierungsstelle möglicherweise nicht termingerecht veröffentlicht.
• Nächstes Update: Datum und Uhrzeit, zu denen die nächste CRL erwartet wird. Liegt die aktuelle Uhrzeit bereits hinter diesem Zeitpunkt, ist die CRL abgelaufen und sollte nicht mehr als vertrauenswürdig angesehen werden.

Überprüfen, ob ein bestimmtes Zertifikat widerrufen wurde:

1. Öffnen Sie das Zertifikat, das Sie überprüfen möchten, und notieren Sie sich dessenSeriennummer(zu finden in den Zertifikatsdetails).
2. Öffnen Sie die CRL und suchen Sie in der Liste der gesperrten Zertifikate nach dieser Seriennummer.
3. Wenn eine Seriennummer angegeben ist: Das Zertifikat wurde widerrufen. Der Eintrag enthält das Datum des Widerrufs, den Grundcode und (falls zutreffend) ein Ungültigkeitsdatum im Falle eines rückwirkenden Widerrufs.
4. Falls die Seriennummer fehlt: Das Zertifikat wurde nicht widerrufen und ist gültig (gemäß dieser CRL).

Fehlerbehebung bei fehlgeschlagenen CRL-Prüfungen

Wenn CRL-Prüfungen fehlschlagen, lässt sich die Ursache in der Regel einer der folgenden Kategorien zuordnen.

CDP nicht erreichbar.Der CDP muss jederzeit erreichbar sein, um sicherzustellen, dass Geräte oder Anwendungen die neue CRL bei Bedarf abrufen können. Andernfalls lässt sich der Status des betreffenden Zertifikats nicht ermitteln, und die Überprüfung des Zertifikatswiderrufsstatus schlägt fehl. Überprüfen Sie die Netzwerkverbindung, DNS und die Firewall-Regeln für die CDP-URL.

Abgelaufene CRL. Ihre CRL ist abgelaufen oder nicht erreichbar, wodurch alle Ihre Zertifikate möglicherweise sofort unbrauchbar werden. Überwachen Sie das Ablaufdatum der CRL proaktiv und stellen Sie sicher, dass die Zertifizierungsstelle die CRL termingerecht veröffentlicht.

Hohe CRL-Auslastung.Extrem große CRLs können während des Herunterladens oder der Analyse zu Zeitüberschreitungen führen. In EJBCA in Unternehmen kann dies eine Datenbankoptimierung, erhöhte Zeitüberschreitungsschwellenwerte und dedizierte Knoten zur CRL-Generierung erfordern, um eine akzeptable Leistung aufrechtzuerhalten. Sie können auch in Betracht ziehen, auf partitionierte CRLs umzustellen, um die Leistung zu steigern.

Formatkonflikt.Wenn ein Tool das PEM-Format erwartet, aber DER erhält (oder umgekehrt), schlägt die Analyse fehl. Konvertieren Sie die Formate mit OpenSSL:

# DER to PEM 
openssl crl -in crl.der -inform DER -outform PEM -out crl.pem  
# PEM to DER 
openssl crl -in crl.pem -inform PEM -outform DER -out crl.der

Wenn Ihre CRL-Prüfungen durchweg langsam sind, sollten Sie erwägen, diese durch OCSP zu ergänzen, um Statusprüfungen in Echtzeit durchzuführen. Weitere Informationen finden Sie unter„CRL vs. OCSP: Was Sie wissen müssen“.

Haben Sie Fragen zu CRL? Wir haben die Antworten.

Wie kann ich überprüfen, ob ein Zertifikat widerrufen wurde?
Entnehmen Sie die Seriennummer des Zertifikats aus den Details und laden Sie anschließend die CRL von der im Zertifikat angegebenen CDP herunter. Suchen Sie in der Liste der widerrufenen Zertifikate der CRL nach dieser Seriennummer. Wenn sie dort aufgeführt ist, wurde das Zertifikat widerrufen.

Mit welchen Tools kann ich eine CRL anzeigen?
OpenSSL ist das am häufigsten verwendete Tool zum Anzeigen von CRLs unter Linux und macOS. Unter Windows stehen „certutil“ und der integrierte CRL-Viewer (Doppelklick auf die .crl-Datei) zur Verfügung. CA-Plattformen wie EJBCA bieten ebenfalls die Anzeige und den Download von CRLs über ihre Administrationsoberflächen an.

Welche Informationen enthält eine CRL?
Eine CRL enthält den Aussteller (die Zertifizierungsstelle, die sie veröffentlicht hat), das Erstellungsdatum, das nächste voraussichtliche Aktualisierungsdatum sowie eine Liste der widerrufenen Zertifikate. Jeder Eintrag zu einem widerrufenen Zertifikat enthält die Seriennummer des Zertifikats, das Widerrufsdatum und einen optionalen Grundcode.

Wie finde ich den CRL-Verteilungspunkt in einem Zertifikat?
Öffnen Sie das Zertifikat im Zertifikatsbetrachter eines Browsers oder verwenden Sie OpenSSL (openssl x509 -in cert.pem -noout -text) und suchen Sie nach der Erweiterung „CRL Distribution Points“. Dieses Feld enthält die URL(s), unter denen die Zertifizierungsstelle ihre CRL veröffentlicht.

Was ist eine Delta-CRL?
Eine Delta-CRL enthält nur die Zertifikate, die seit der Veröffentlichung der letzten vollständigen CRL widerrufen wurden. Delta-CRLs reduzieren den Bandbreitenbedarf und den Aufwand für die Auswertung, indem sie die Basis-CRL durch inkrementelle Aktualisierungen ergänzen, anstatt die gesamte Liste erneut zu veröffentlichen.

Warum könnte eine CRL-Prüfung fehlschlagen?
Häufige Ursachen sind ein nicht erreichbarer CDP (Netzwerk- oder Firewall-Probleme), eine abgelaufene CRL (die Zertifizierungsstelle hat die Veröffentlichung nicht termingerecht vorgenommen), eine Formatinkongruenz (DER vs. PEM) oder eine CRL-Datei, die zu groß ist, als dass der Client sie innerhalb des Zeitfensters herunterladen und auswerten könnte.

Wie oft sollte ich CRLs überprüfen?
Clients speichern die CRL in der Regel im Cache, bis der Zeitstempel „Nächstes Update“ abläuft, und laden dann eine aktuelle Kopie herunter. Zur proaktiven Überwachung sollten Sie die Verfügbarkeit und Aktualität der CRLs kontinuierlich mit automatisierten Tools überprüfen, damit Sie Probleme mit dem Ablauf oder der Verfügbarkeit erkennen können, bevor sie zu Ausfällen führen.

Kann ich die CRL-Überwachung automatisieren?
Ja. Plattformen für das Zertifikatslebenszyklusmanagement wie Keyfactor Command bieten eine automatisierte CRL- und OCSP-Überwachung und benachrichtigen die Teams, bevor CRLs ablaufen oder CDPs nicht mehr erreichbar sind. Sie können für eine einfache Überwachung auch regelmäßige Überprüfungen mithilfe von OpenSSL und Cron-Jobs per Skript automatisieren.