Názor ke zprávičce Digicertu nefungují OCSP odpovídače, prohlížeče mají problém s navázáním šifrovaného spojení od Filip Jirsák - Znamenalo by to mít CRL stažené dopředu (preventivně)...

Znamenalo by to mít CRL stažené dopředu (preventivně) a vyloučit na jeho základě alespoň certifikáty, o kterých je už dlouho známo, že jsou odvolané. Jenže je otázka, co dělat s tím zbytkem – s certifikáty, o kterých nevím, zda byly či nebyly odvolány. Risknout to, že těch odvolaných certifikátů po stažení posledního CRL bude málo? No, to pomalu můžeme risknout, že útoků na weby bude málo a není potřeba použít HTTPS… Zase by pomohlo DANE, protože DNS stejně potřebuju a když už certifikát ověřím z DNS, nejsem závislý na další infrastruktuře. Certifikační autorita může maximálně doplnit další úroveň důvěryhodnosti (OV certifikát), ale to už je informace navíc, a navíc není závislá na jiném online protokolu (odvolání certifikátu vyřeším jeho stažením z DNS, takže prohlížeč nebude potřebovat OCSP validaco).