Heute war es mal wieder soweit: Die Erneuerung eines SSL-Zertifikats stand an. Anstatt auf den vorherigen Anbieter Thawte zu setzen, der nicht schlecht, aber dafür extra teuer ist, griff ich also auf ein unglaublich günstiges Zertifikat von GoDaddy.com zurück.

In Sachen Browsererkennung, Verschlüsselungsstärke, etc. nehmen sich die beiden kaum etwas, so das das neue Zertifikat nach der Installation in Apache problemlos mit Firefox, Safari und Camino zusammenarbeitete. Der Test mit Opera (9.64) schlug jedoch fehl und zeigte statt des mit einem Schloss hinterlegten Domainnamens nur ein graues Fragezeichen. Was war passiert ?

GoDaddy bietet für seine Zertifikate einen OCSP-Service (Online Certificate Status Protocol) an, mit dem sie Zertfikate quasi binnen Sekunden widerrufen können, sollte ein Missbrauch festgestellt werden. Das ist eigentlich eine recht simple Weiterentwicklung der CRL (Certificate Revocation List), die es schon seit langem gibt, die aber nicht realtime-fähig war. Anscheinend muss man nun neue Zertfikate, wie einen guten Schinken, erst einmal 1-2 Stunden reifen lassen, bevor man sie auf das Netz loslässt. Erst dann weiß der Godaddy-OCSP-Server offenbar etwas mit diesem Zertifikat anzufangen und bestätigt es interessierten Browsern wie Opera.