OCSP (et son démon performant ocspd) ainsi que CRL sont deux méthodes différentes mais similaires pour vérifier l'état de révocation des certificats publics et font partie de la PKI (infrastructure à clé publique).
Le statut de révocation (au-delà des autres statuts) détermine la validité d'un certificat.
L'état de révocation d'un certificat peut être bon , inconnu o révoqué . L'état passe de bon à révoqué si l'autorité de certification qui publie le certificat ou le certificat lui-même a été compromis (par exemple, si l'autorité de certification a été piratée ou si la clé privée d'un certificat a été volée ou publiée par accident).
L'utilisation d'un certificat révoqué (sans savoir qu'il a été invalidé) du côté du client peut compromettre sa sécurité.
Il est fortement conseillé d'activer OCSP et CRL et de donner la priorité à OCSP.
Addendum :
J'ai supervisé la largeur de bande nécessaire de ocspd avec le petit mouchard.
En cherchant ocspd dans le moniteur réseau, en marquant le processus et en appuyant sur le bouton info (surligné en rouge), j'obtiens le trafic total.
Après un temps de fonctionnement de ~5 heures, j'obtiens 3,97 kB de trafic sortant et 23 kB de trafic entrant.
Vous pouvez télécharger et installer Petite balance et traquer le coupable vous-même. Outre l'ensemble du trafic du processus, vous pouvez obtenir le trafic à destination et en provenance d'un seul hôte également en choisissant l'un d'entre eux. Little Snitch fonctionne en mode démo pendant trois heures, et vous pouvez le redémarrer aussi souvent que vous le souhaitez. Le Network Monitor expire après 30 jours.