article très intéressant.
dans un précédent shaarlink j'avais dit que par défaut les navigateurs ne vérifiaient pas les listes de révocation; c'est faux. ils le font mais s'ils ne parviennent pas à contacter les serveurs ocsp, ils valident le certificat. C'est ce qu'on appele le soft-fail et cela évite le SPOF des serveurs ocsp qu'on ne peut pas joindre (wifi hotel) ou qui sont down...