De afkorting staat voor Online Certificate Status Protocol en het betreft een dienst die alle CA’s aan­bieden om op elk gewenst moment na te gaan of een certificaat dat door hen is uitgegeven wellicht is ingetrokken.

De CA vermeldt bij het aanmaken van een certificaat in dat certificaat de URL voor het bereiken van de OCSP dienst die erop van toepassing is. Bovendien wordt de URL voor de intrekkingslijst daarin ge­noemd, de CRL. De Certificate Revocation List is een ouder mechanisme voor controle op intrekking. Het gebruik van OCSP verdient de voorkeur, de CRL wordt geboden als back-up.

Digitale certificaten worden uitgegeven met een bepaalde geldigheidsperiode. Die periode is meestal twee of drie jaar. In zeldzame gevallen dat een certificaat vóór het einde van de geldigheidsperiode in verkeerde handen is gevallen, wordt het certificaat ingetrokken. Dat betekent dat de CA registreert dat het certificaat ongeldig is geworden. Deze informatie wordt gepubliceerd door middel van OCSP en CRL. Het is een veiligheidsmaatregel om steeds op intrekking te controleren voordat een certificaat daad­werkelijk vertrouwd wordt.

Bij gebruik van de PVM wordt OCSP gebruikt voor controle op intrekking van de TLS servercertificaten en de afnemercertificaten. Potentieel zijn daarbij vier verschillende CA’s betrokken. Bovendien wordt de hele keten met soms een lengte van drie certificaten voor TLS gecontroleerd. De huidige stand van zaken is dat de onderstaande URL’s van toepassing zijn:

QuoVadis ocsp.quovadisglobal.com afnemercertificaten
DigiCert ocsp.digicert.com zorgttp.nl
Global Sign ocsp.globasign.com
ocsp2.globalsign.com
disportal.nl
(alleen van toepassing op PVM DIS)

De communicatie voor het raadplegen van OCSP of de CRL vindt plaats op basis van http zonder TLS. Dat is de normale gang van zaken zodat het gebruikt kan worden vóórdat een veilige verbinding tot stand komt. De integriteit van de informatie wordt met behulp van digitale ondertekening door de CA gerealiseerd.

Vanwege de omvang van beveiligd internet verkeer en de vele verbindingen die voortdurend tot stand worden gebracht, biedt een CA de OCSP dienst vaak via een Content Delivery Network aan. Dat betekent dat de actieve server die op enig moment het verzoek afhandelt van moment tot moment en locatie tot locatie, kan variëren. Wanneer firewall regels noodzakelijk zijn om de OCSP toe te staan, doe dat dan bij voorkeur op basis van de domeinnaam (FQDN) en niet op IP adres.