B.3.10. OCSPNocheck

扩展旨在包含在 OCSP 签名证书中。扩展告知一个 OCSP 客户端，在不查询 OCSP 响应者的情况下可以信任签名证书（因为回复会再次由 OCSP 响应程序签名，客户端会再次请求签名证书的有效性状态）。这个扩展是 null-valued，它的含义由其存在或没有决定。

由于证书中存在此扩展会导致 OCSP 客户端信任使用该证书签名的响应，所以应该仔细管理使用此扩展。如果 OCSP 签名密钥被破坏，则 PKI 中验证证书的整个过程会在证书的有效性期间内被破坏。因此，使用 OCSPNocheck 的证书应该有较短的生命周期并经常续订。