Spärrkontrollen i Common använder sig av både CRL:er (Certificate Revocation List) och OCSP (Online Certificate Status Protocol) för att avgöra om ett certifikat ska förklaras som giltigt, protokollen används i samspel med varandra för att ge ett stabilt system för spärrkontroller. För att avgöra statusen på ett certifikat används antingen CRL eller OCSP som primär källa, det andra protokollet används som fallback och påkallas ifall den primära källan inte ger ett tillförlitligt svar. Det protokoll som används vid fallback bestäms av den specifika applikationens konfiguration. Om varken CRL eller OCSP kan ge ett tillförlitligt svar på revokeringsstatus blir resultatet en UNDETERMINED_REVOCATION_STATUS.
...
I fallen där revokeringsstatus inte går att avgöra med hjälp av OCSP går applikationen över till CRL för att försöka få en revokeringsstatus därigenom.
...
Spärrkontroller med CRL
Spärrkontroller med CRL görs enbart med uppslag mot en Redis-cache där spärrlistor lagras. Cachen fylls i sin tur på av ett bakgrundsjobb som hämtar spärrlistor utifrån ett konfigurerat intervall. De listor som hämtas av jobbet avgörs utifrån de certifikatsutfärdare som är inlästa i den aktuella applikationen samt av en konfigurerbar lista URL:ar som är konfigurerade för att också hämtas. Kriteriet för att spärrlistan/spärrlistor skall bli inlästa i cachen är att deras signaturer kan verifieras av någon betrodd certifikatsutfärdare.
...
I fallen där revokeringsstatus inte går att avgöra med hjälp av CRL:er går applikationen över till OCSP för att försöka få en revokeringsstatus därigenom.
...
Fallback-mekanismer
Logiken för spärrkontroller är utformad för att kunna hantera en mängd onormala scenarion så som driftstörningar, tömda Redis-cachear, mm. för att i nästan alla lägen kunna ge en revokeringsstatus. Ett exempel på hur ett sådant flöde skulle kunna se ut är som följer:
...