Die OCSP-Responder der DFN-PKI arbeiteten lange Zeit gemäß RFC 2560. Dieser Betriebsmodus hat insbesondere in Hochlast-Umgebungen Nachteile; insbesondere wird ein Caching von OCSP-Antworten deutlich erschwert.
RFC 5019, „The Lightweight Online Certificate Status Protocol (OCSP) Profile for High-Volume Environments“, spezifiziert eine OCSP-Variante, die die Caching-Probleme deutlich abmildert.
Seit Mitte Mai wurden die OCSP-Responder der DFN-PKI der Reihe nach auf eine neue Software-Version gebracht, die RFC 5019 verwendet. Damit werden Caching-Header gesetzt und sogenannte Nonces aus eingehenden Anfragen nicht mehr in die OCSP-Antwort kopiert. Viele OCSP-Responder, auch von sehr großen CAs, werden erfolgreich nach RFC 5019 betrieben.
Leider gibt es hierbei einen Nebeneffekt bei FreeRADIUS: Wenn man Nutzerzertifikate zur Authentifizierung verwendet, und zur Validierung der Nutzerzertifikate OCSP aktiviert hat, muss zwingend eine zusätzliche Konfigurationsoption in den OCSP-Abschnitt der eap/tls-Konfiguration gesetzt werden:
ocsp { ... use_nonce = no ... }
Wird diese Option nicht verwendet, akzeptiert FreeRADIUS das Nutzerzertifikat nicht und schreibt, je nach Loglevel, die folgende Nachricht in das radius.log :
Error: OCSP response has wrong nonce value
(jbr, 05.06.2015)