<div dir="ltr"><div><div><div><div>Hi all,<br></div>I have some questions about applying OCSP and CRL to check status of certificates.<br></div>If a certificate is revoked after OCSP's response is sent to client and the connection is established, then how such senario is managed using OCSP?<br></div>I tried some senarios like this, I expect that due to next update of fetched response, the new response be fetched, but in the log I can see it says OCSP response is stale, but still no new response is fetched! It has cached the old response and it does not refresh it, I thought it will refresh it in every rekey!<br></div>Another senario is that: I use CRLs which are located in ipsec.d/crls, I add a fresh CRL to this directory I thought it would be replaced with the old one at rekey or when the remote peer restart its ipsec. But it is replaced just when the local side restarts ipsec. I even tried "ipsec rereadcrls" but no effect.<br></div>