El navegador envía una consulta a un servidor OCSP para verificar la validez actual de su certificado ssl / tls.
Sí, con OCSP, el OCSP podría averiguar qué sitio visita el usuario. No puede determinar qué URL, pero puede determinar el certificado al que el navegador intenta acceder y, por lo tanto, a qué sitio. Las solicitudes de OCSP no se realizan para cada solicitud de HTTPS al mismo sitio, pero la respuesta se almacena en caché durante algún tiempo. Algunos servidores obtienen periódicamente la respuesta de OCSP del respondedor de OCSP y la envían junto con el certificado (grapado de OCSP). En este caso, el navegador no necesita consultar al respondedor OCSP, lo que es bueno para la privacidad y también para el rendimiento. Aparte de eso, el navegador Chrome ya no utiliza OCSP, sino que tiene su propia lista de certificados revocados. No todos están de acuerdo en que esta es realmente la mejor manera .
También consulta un servicio para verificar si el sitio web es malicioso ("bloquear los sitios de ataques informados" en Firefox)
Las versiones iniciales de esta función (Google Safebrowsing) verificaron cada sitio preguntando a un servidor central, pero esto fue hace mucho tiempo. Hoy en día, una base de datos local se actualiza regularmente y las comprobaciones se realizan fuera de línea en esta base de datos. Solo si esta verificación fuera de línea indica que el sitio puede ser malicioso, se conectará en línea y verificará esto con el servidor central. Por lo tanto, esta característica ya no es una gran invasión de la privacidad.
Pero hay varios productos de firewall / antivirus que aún se comportan de esta manera y envían direcciones URL desconocidas al proveedor de firewall, que luego hace otro acceso para analizar el sitio potencialmente malicioso. Algunos proveedores incluso llegan a vender estos perfiles a partes interesadas como anunciantes .