Google is van plan om de online controle van SSL-certificaten die Chrome uitvoert uit te schakelen, aangezien het toch geen zin heeft. Als de browser een verbinding met een website maakt, wordt gecontroleerd of het aangeboden SSL-certificaat niet door de uitgever (Certificate Authority) is ingetrokken en dus ongeldig is. Dit kan via de certificate revocation lists (CRLs) van de Certificate Authority (CA) of via het Online Certificate Status Protocol (OCSP).

Maar volgens Google's Adam Langley is het proces niet betrouwbaar. "Het probleem is dat de browser niet zeker weet of het de CA-servers kan bereiken." Het kan dan om bepaalde portals gaan, waarbij de gebruiker via HTTPs moet inloggen, maar waarbij verkeer naar andere sites, waaronder de CA's OCSP-servers geblokkeerd worden. Als deze OCSP request niet werkt, negeert Chrome dit, omdat er anders teveel valse alarmen zouden zijn.

Update
Daarnaast kan een aanvaller die de SSL-verbinding manipuleert vaak ook de verbinding naar de OCSP-server verstoren. "Aan de hand hiervan zijn we van plan om online revocation controles in toekomstige versies van Chrome uit te schakelen", merkt Langley op. De zoekgigant is er nog niet uit wat het met EV SSL-certificaten gaat doen.

Om Chrome-gebruikers toch tegen valse en ingetrokken SSL-certificaten te beschermen, gebruikt de browser het update mechanisme om de lijst met ingetrokken certificaten te ontvangen en beheren.