OCSP (Online Certificate Status Protocol)

OCSP, описанный в RFC 6960, заменяет крупные и медленно обновляемые CRL запросами в режиме реального времени. Клиент отправляет подписанный запрос с серийным номером сертификата на URL OCSP-респондера, указанный в расширении Authority Information Access. Респондер возвращает подписанный статус (good, revoked, unknown), и проверяющая сторона принимает результат после проверки подписи. OCSP stapling позволяет TLS-серверу самому получать и кэшировать ответ и предъявлять его в ходе рукопожатия, устраняя проблемы приватности и производительности на стороне клиентов. В сочетании с must-staple OCSP делает проверку отзыва в TLS действительно обязательной.