OCSP (Online Certificate Status Protocol, RFC 2560) ist ein Protokoll, das es Clients ermöglicht, den Status von X.509 Zertifikaten abzufragen. Der angesprochene OCSP Server authentifiziert zunächst den Client, um anschließend den Status der abgefragten Zertifikate zu ermitteln. Dabei kann er sich auf CRL's (Certificate Revocation Lists) stützen oder einen anderen Mechanismus benutzen. Anschließend generiert der Server eine Antwort, wobei er sich für den Client authentisiert und jedem abgefragten Zertifikat einen Status zuweist (good = nicht gesperrt, revoked = gesperrt, unknown = unbekannt). Der Client kann daraufhin den Server authentifizieren und schlussendlich anhand der übermittelten Statusinformationen entsprechend handeln. Der Vorteil von OCSP gegenüber CRL's besteht in der sofortigen Möglichkeit der definierten Abfrage von Zertifikatsstatusinformationen (CRL's werden nur in bestimmten Intervallen aktualisiert).