Folgende Ausnahme ist bei der Prüfung der qualifizierten Zertifikate zu beachten:
Die beiden Root-Zertifikate der RegTP (jetzt: Bundesnetzagentur) mit den Common Names

sind nicht über OCSP prüfbar, da der Public Key beider Root-Zertifikate einen negativen Exponenten enthält.
Alle Zertifikate, die mit diesen beiden korrespondierenden Signaturschlüsseln ausgestellt wurden, lassen sich ebenfalls nicht über OCSP abfragen. Ein Download des Zertifikats über LDAP (und eine nachfolgende Prüfung auf Client-Seite) ist jedoch möglich .

Begründung: Verschiedene Clientprogramme interpretieren Schlüssel mit negativen Exponenten unterschiedlich. Einige behandeln ihn ohne Änderung, andere aber sehen den Exponenten als positiv an und stellen ein Null-Byte voran. Bei einer Hashwertbildung über diesen öffentlichen Schlüssel führt dies dann zu unterschiedlichen Hashwerten. Dies ergibt Probleme bei dem OCSP-Protokoll, denn der in der OCSP-Anfrage notwendige IssuerKeyHash wird sich in solchen Fällen bei dem gleichen angefragten Zertifikat unterscheiden. Auch wenn es sich hierbei um ein Client-seitiges Problem handelt, wurde beschlossen, diese beiden Root-Zertifikate, alle Dienste-Zertifikate der ehemals RegTP sowie alle mit den beiden Root-Zertifikaten ausgestellten Zertifikate akkreditierter Zertifizierungsdiensteanbieter nicht über OCSP nachprüfbar zu halten, um der Gefahr von unterschiedlichen Statusauskünften zu einem Zertifikat vorzubeugen. Alle diese Zertifikate können jedoch über LDAP geladen und gegen die Sperrliste geprüft werden. Hier finden Sie eine komplette Liste der Seriennummern der hiervon betroffenen Zertifikate.