有SSL证书基础知识都知道，SSL证书的信任主要取决于操作系统即浏览器是否预设根证书，这是SSL证书的被信任基本，然而SSL证书主要用在网站上，网站主要是通过浏览器访问，但浏览器版本很多，发展到现在不知道有多少版本了，微软的浏览器无论是老掉牙的IE、还是目前的Edge，我们也知道是主要跟随Windows操作系统，然而新成立的CA数字证书厂家是没有办法回到已经发布的系统版本，所以要想拿到兼容性99%正儿八经的厂家封装的SSL证书也就那么几家，而且都在国外的多。

那么到底是OCSP国内的好，还是国外的好？

我们来举几个例子。

CFCA国产SSL证书举列，这家机构确实使用的国内的服务器OCPS、CRL，因为这家公司就在这里。

所以你访问的网络是：客户端——服务器（国内）

GeoTrust美国SSL证书举列，这家机构国内是没有自己的服务器，采用的是CDN方式代理协议方式形成的国内网络，OCPS、CRL采用的是别名CNAME解析方式。

所以你的访问的网络是：客户端——CDN（国内）——服务器（国外）

OCSP是干嘛的？

OCSP （ 在线证书状态协议 ）是 计算机安全领域用于验证数字证书是否被撤销的协议，通过在线查询证书状态信息确保网络通信安全。

这下你明白了，其实无论你用的是国外还是国内其实都一样，他不能代表什么，至于安全不安全也没什么直接关系。

总结

OCSP无论是国内还是国外目的只是验证数字证书是否被撤销，所以选择OCSP最好用CA机构的直接网络，不要经过CDN或者其它代理协议转发的，如果CA机构在国内就选择国内的网络，CA机构在国外就选择国外的网络。

劝告，有的SSL证书提供商不要刻意的将国外的COS络包装成国内的OCSP使用，这样其实没有什么好处，也没有什么意义，最多过过眼瘾。