Почему удостоверяющие центры не соблюдают требование CA/Browser к сертификатам

Ежегодно форум CA/Browser обновляет базовые требования к серверным SSL/TLS-сертификатам (Baseline Requirements или BR). Одно из таких требований указано в пункте 4.9.9 с пометкой MUST: Ответы по OCSP (протокол статуса онлайн-сертификатов) ДОЛЖНЫ соответствовать RFC 6960 и/или RFC 5019. OCSP ответы ДОЛЖНЫ либо: Иметь подпись УЦ, выдавшим сертификаты, чей статус отзыва проверяется, или Иметь подпись OCSP Responder, сертификат которого подписан УЦ, выдавшим сертификаты, чей статус отзыва проверяется В последнем случае подписывающий сертификат OCSP ДОЛЖЕН содержать расширение типа id-pkix-ocsp-nocheck, как прописано в RFC 6960. Именно это правило нарушают практически все удостоверяющие центры (УЦ), что имеет некоторые последствия. Читать дальше →

Источник: Хабрахабр