Durante la convalida del certificato, il client può contattare il risponditore OCSP controllato dalla CA per verificare la revoca dei certificati. Pertanto, sebbene la CA non sappia cosa visita esattamente il client (cioè non vede il traffico e non può decodificarlo se lo vede) potrebbe ottenere almeno un'associazione tra l'indirizzo IP del client e il certificato del sito visitato.
Il modo in cui aggirarlo è la graffatura OCSP in cui il server fornisce già la risposta OCSP (firmata da CA) e il client non deve accedere alla CA. Questo è anche raccomandato per le prestazioni poiché il client non ha bisogno di creare una connessione aggiuntiva per la ricerca OCSP e attendere il risultato.