Вот как раз в ОCSP они перестали почти все заглядывать уже давно. А в сам СТ им заглядывать нет нужны, всё что нужно, есть в сертификате, который сервер любезно сообщает сам.openssl s_client -showcerts -connect opennet.ru:443 < /dev/null | openssl x509 -text
...
CT Precertificate SCTs:
Signed Certificate Timestamp:
Version : v1 (0x0)
Log ID : B7:3E:FB:24:DF:9C:4D:BA:75:F2:39:C5:BA:58:F4:6C:
5D:FC:42:CF:7A:9F:35:C4:9E:1D:09:81:25:ED:B4:99
Timestamp : Sep 8 20:02:31.632 2023 GMT
Extensions: none
Signature : ecdsa-with-SHA256
30:44:02:20:29:D5:65:98:8D:F5:BE:5E:80:72:58:68:
51:89:EE:CF:94:9E:BE:AB:95:C6:90:B1:58:34:11:B0:
32:55:76:59:02:20:6F:75:88:3A:18:D4:72:3F:C9:E2:
CB:53:E8:26:6F:EF:E7:53:57:C8:E2:64:CD:ED:12:7F:
71:30:9B:82:5A:E2
Signed Certificate Timestamp:
Version : v1 (0x0)
Log ID : 7A:32:8C:54:D8:B7:2D:B6:20:EA:38:E0:52:1E:E9:84:
16:70:32:13:85:4D:3B:D2:2B:C1:3A:57:A3:52:EB:52
Timestamp : Sep 8 20:02:31.647 2023 GMT
Extensions: none
Signature : ecdsa-with-SHA256
30:45:02:20:3F:9D:B2:BA:07:7D:0C:02:95:AC:D5:58:
79:4B:74:A0:F1:EA:AE:2E:DE:D6:3D:48:8E:CE:4F:47:
8A:C7:BD:20:02:21:00:B4:1A:01:2D:80:E8:AB:82:4E:
54:D0:C1:7C:6F:46:18:8A:02:B7:64:B7:55:4A:32:60:
A6:C5:E7:42:F3:A4:3C
...
тоже самое в уже декодированном виде можно посмотреть во вкладке security в нетворк мониторе хрома
Certificate Transparency
SCT Let's Encrypt 'Oak2023' log (Embedded in certificate, Verified)
SCT Cloudflare 'Nimbus2023' Log (Embedded in certificate, Verified)
В самом браузере зашит список публичных СТ и их подписи, соотв он проверит, что подписи тут валидны.. Есть и второй способ, когда веб сервер сам сливает сертификат в СТ и добавляет информацию о СТ с подписями в ответе вместе с сертификатом, на случай если информации о СТ нет в самом сертификате, но сейчас публичные СА таких не выдают, а те что были выданы ранее, те давно протухли.
