OCSP (Online Certificate Status Protocol) — способ проверить, отозван ли сертификат, в реальном времени. Клиент спрашивает OCSP responder: "сертификат с serial number X валиден?". Ответ: good, revoked, unknown. Альтернатива CRL (Certificate Revocation List) — CRL может быть огромным. OCSP stapling: сервер сам запрашивает OCSP ответ и прикрепляет к TLS handshake — клиенту не нужно отдельно ходить. В Go: tls.Config поддерживает OCSP stapling через Certificate.OCSPStaple. На практике OCSP has privacy issues (CA видит какие сайты ты посещаешь), поэтому Chrome перешёл на CRLSets.