我的印象是OCSP 装订在客户端没有得到很好的支持，但我的信息可能已经过时了。

从 Firefox 26 开始，Firefox 显然支持 OCSP 装订。（感谢 Jan Schejbal 提供此信息。）

Chrome 支持Windows、Linux 和 ChromeOS 上的OCSP 装订。（感谢 Kit Sunde 提供此信息。）（Chrome 团队已决定他们计划删除 CRL 和常规 OCSP 检查，但他们没有禁用 OCSP 装订。）

我读过一份报告，大多数浏览器都支持 Windows 上的 OCSP 装订。

这是有关OCSP 的浏览器支持的更多信息（不幸的是，不支持 OCSP 装订）。

您可以在http://www.vpnhosting.cz/ocsp上的浏览器中测试 OCSP 装订支持。

它是捷克语，如果您可以看到 OCSP_stapling_disabled，OCSP 装订已禁用，OCSP_stapling_enabled 表示 OCSP 装订有效。

IE 从 Vista 开始就支持它，Chrome 在 Windows 上通过 CryptoAPI 支持它，在其他平台上通过 NSS 补丁支持它，它使得 Firefox 没有接受它，Opera 也支持它好几年了。Firefox 在许多方面都是所有浏览器中最糟糕的撤销行为，它缺乏对 OCSP 装订的支持是最小的例子。此外，Chrome 将继续在企业场景中支持 OCSP 和 OCSP 装订，他们出于各种原因提供了自己的撤销检查机制。

即使使用 OCSP 装订，验证 OCSP 签名的行为也可能会将个人信息暴露给 OCSP 签名根。此外，OCSP 唱歌根可以是整个基础架构的第 3 方，如下所示：

来源

尽管验证签名 OCSP 签名有安全优势，但如果隐私问题超过安全性，则以下扩展会禁用签名功能szOID_PKIX_OCSP_NOCHECK (1.3.6.1.5.5.7.48.1.5) （请注意，由 CA 来实施此扩展）

如果要使用 CRL 而不是 OCSP，可以在 Windows 机器上将以下设置设置为 1 或零

 HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\SystemCertificates\ChainEngine\Config\CryptnetCachedOcspSwitchToCrlCount