Các responder OCSP sẽ chỉ kiểm tra tình trạng của chứng chỉ đặc biệt được chỉ định trong yêu cầu OCSP. Người trả lời sẽ bỏ qua phần còn lại của chuỗi.
Trình duyệt có thể chọn gửi nhiều yêu cầu OCSP để kiểm tra từng chứng chỉ khi nó vượt qua chuỗi, nhưng điều này hiện được thực hiện theo cách thức phụ thuộc vào trình duyệt trên các nhà cung cấp khác nhau và trình duyệt sẽ lưu trữ các chứng chỉ trung gian được phục vụ bởi các máy chủ SSL tùy ý và tái sử dụng chúng trong các chuỗi cho các chứng chỉ lá khác nhau. Một số trình duyệt thậm chí sẽ thử và tự động tải xuống trung gian cập nhật từ các nguồn thứ ba, ngay cả khi máy chủ SSL đang gửi một tệp cũ hơn. Tuy nhiên, cần lưu ý rằng nói chung (hiện tại), các chứng chỉ trung gian hầu hết không được thiết lập để có thông tin OCSP, vì vậy không chắc là chúng có thể kiểm tra được OCSP.
Trên một lưu ý liên quan, có một phần mới của thông số cho phép trình duyệt yêu cầu nhiều kiểm tra OCSP trong cùng một bài đăng HTTP - với ý định cho phép các trung gian được kiểm tra cùng với lá-- nhưng không có gì hỗ trợ điều này, và điều này có thể chỉ được hỗ trợ trên các máy chủ sử dụng OCSP đóng ghim (Apache 2.4+, v.v.), nếu không tải trọng kết quả trên một phản hồi OCSP cho chứng chỉ trung gian, mà không có ghim, có khả năng làm cho nó rơi thẳng kết thúc. (Với một chứng chỉ trung gian ký hàng trăm ngàn lá, hãy tưởng tượng nó sẽ bị tấn công như thế nào đối với các yêu cầu thu hồi, mà không có sự hỗ trợ rộng rãi của bộ nhớ đệm được phân phối mà ghim sẽ mang lại).
Chứng chỉ gốc, tất nhiên, không thể kiểm tra bằng OCSP. Chúng được ký bởi chính chúng, vì vậy nếu niềm tin đã biến mất, không có nơi nào để xem, và bạn chỉ cần loại bỏ chứng chỉ gốc từ máy khách.
Cảm ơn bạn đã trả lời, nó rất hữu ích. – Anthony
được cập nhật thêm một chút thông tin – Cheekysoft
Nếu số sê-ri của chứng chỉ tự ký tự gốc xuất hiện trên CRL của chính nó (hoặc tình trạng của nó được thông qua như bị thu hồi trong phản hồi OCSP v.v.), bạn vẫn tin vào thư mục gốc? – Ram