OCSP (e il suo daemon performing ocspd) e CRL sono due metodi diversi ma simili per controllare lo stato di revoca dei certificati pubblici e fanno parte dell'infrastruttura a chiave pubblica (PKI).
Lo stato di revoca (oltre gli altri stati) determina la validità di un certificato.
Lo stato di revoca di un certificato può essere buono , sconosciuto o revocato . Lo stato verrà modificato da buono a revocato se la CA di pubblicazione (autorità di certificazione) o il certificato stesso è stato compromesso (ad esempio la CA è stata compromessa o la chiave privata di un certificato è stata rubata o è stata pubblicata per errore).
L'utilizzo di un certificato revocato (senza sapere che è stato invalidato) sul lato client potrebbe comprometterne la sicurezza.
Ti consigliamo vivamente di abilitare OCSP e CRL e dare la priorità a OCSP.
Addendum:
Ho supervisionato la larghezza di banda necessaria di ocspd con Little Snitch.
Cercando ocspd nel monitor di rete, contrassegnando il processo e premendo il pulsante info (evidenziato in rosso) ottengo il traffico totale.
Dopounuptimedi~5oreottengo3.97kBditrafficoinuscitae23kBiningresso.
Puoiscaricareeinstallare Little Snitch e cacciare te stesso il colpevole. Oltre all'intero traffico del processo è possibile ottenere il traffico da e verso un singolo host anche scegliendone uno. Little Snitch funziona in modalità demo per tre ore e può essere riavviato tutte le volte che vuoi. Network Monitor scade dopo 30 giorni.