Supponiamo che abbia un server che accetta richieste su HTTPS. Il server risiede in un ambiente chiuso e si affida a un server CA locale. Non sono sicuro se questo è rilevante, ma il server è scritto in Web.AP.Net.A
Cosa succede se il server CA si arresta? Significa che il client non sarà in grado di inviare risposte su HTTPS? Significa che il server non li capirà?
La CA viene utilizzata per firmare il certificato che viene quindi utilizzato all'interno della connessione HTTPS. La CA non è coinvolta nella convalida della catena di fiducia del certificato poiché questa convalida viene eseguita utilizzando la copia memorizzata localmente (e attendibile) del certificato della CA (CA principale).
La CA sarà coinvolta quando il controllo delle revoche viene eseguito utilizzando OCSP: se il risponditore OCSP non funziona, il controllo revocabile fallirà temporaneamente. La gestione degli errori dipende dal browser, dalla configurazione e dal tipo di certificato. Di solito i browser continuano semplicemente quando i controlli OCSP causano errori temporanei (ad esempio, se il certificato viene rifiutato). L'unica eccezione è solitamente il controllo di revoca per i certificati EV (Extended Validation), ma i browser possono spesso essere configurati per eseguire severi controlli OCSP anche in altri casi. Chrome è noto per non eseguire controlli OCSP ma utilizzare un'altra fonte per i controlli di revoca, ma potrebbe essere che continuerà a utilizzare OCSP in caso di CA private.
Si noti che l'errore del risponditore OCSP potrebbe essere in parte attenuato sul lato server recuperando periodicamente una nuova risposta OCSP dal risponditore e collegandola all'handshake SSL (pinzatura OCSP). In questo caso il browser non ha bisogno di chiedere al risponditore OCSP e quindi non avrà problemi se il risponditore fallisce. Ovviamente ciò può essere fatto solo per un tempo limitato, perché la risposta OCSP con punti metallici ha una durata limitata.