Die [Google/Chrome] haben CRL und OCSP nicht abgeschaltet, weil es nicht funktionieren würde, sondern weil sie über ihr eigenes System Kontrolle über die Revocations der Chrome-Nutzer haben wollen (unter dem Vorwand, dass eine ungecachte CRL/OCSP-Anfrage den Seitenaufbau verzögern würde und eben nicht, dass es nicht funktionieren würde).
Ich lasse meinen Firefox die Zertifikatsgültigkeit mit OCSP bestätigen und ich sehe des öfteren die Fehlermeldung, dass der OCSP-Status einer Seite nicht überprüft werden konnte (gefühlt etwa alle 2 Wochen, oft genug, dass ich mich als unbedarfter User bei Mozilla beschweren würde, wenn man mich zur Verwendung der OCSP-Validierung zwingen würde).
OCSP funktioniert daher (derzeit) für mich nicht gut genug, um die breite Masse damit zu beglücken. Es könnte in der Theorie gut funktionieren, tut es in der Praxis bei mir aber nicht.
Ich lasse meinen Firefox die Zertifikatsgültigkeit mit OCSP bestätigen und ich sehe des öfteren die Fehlermeldung, dass der OCSP-Status einer Seite nicht überprüft werden konnte (gefühlt etwa alle 2 Wochen, oft genug, dass ich mich als unbedarfter User bei Mozilla beschweren würde, wenn man mich zur Verwendung der OCSP-Validierung zwingen würde).
OCSP funktioniert daher (derzeit) für mich nicht gut genug, um die breite Masse damit zu beglücken. Es könnte in der Theorie gut funktionieren, tut es in der Praxis bei mir aber nicht.