Heb je hier al eens gekeken? http://kb.mozillazine.org/Firefox_:_FAQs_:_About:config_Entries

OCSP is leuk geprobeerd maar in de praktijk brengt het weinig op. Wel geeft het problemen, omdat de OCSP service
niet altijd goed voor elkaar is.

http.
Een maninthemiddle kan er totaal verkeerde informatie van maken. ;)

Klopt, ik had laatst dit probleem:
https://forum.snsbank.nl/mijn-sns-sns-mobiel-bankieren-app-69/foutmelding-bij-het-overschrijven-hoe-kan-ik-dit-oplossen-7594
Het leek ook een beetje op dit: https://www.snsbank.nl/particulier/service/probleem-oplossen-digipas/mijn-digipas-geeft-cijfercodes-die-niet-werken.html

Vanuit de bank bevelen ze aan om de digipas te vervangen, maar ik geloofde dat niet.
Ik kon in het begin inloggen maar bij bevestiging transactie kreeg ik steeds die foutmelding.
Op een gegeven moment kon ik ook niet meer inloggen vanwege meerdere digipascodes die "fout" werden bevonden.
Internetbankieren werd toen 24 uur geblokkeerd en dat had ik gelukkig door.

Voor alle zekerheid toen de volgende dingen gedaan:
- digipas 24 uur in nauw afgesloten plastic zakje in koelkast gelegd
(voor het geval er wat ontregeld zou zijn door steeds maar die hoge temperaturen, SNS heeft het over een "klok")
- computertijd enkele seconden bijgesteld (er is geen tijdserver ingesteld)

... en toen vond ik een fout in oscp. Mijn firewall stond netjes open voor het ocsp-domein, maar op één of andere manier blokkeerde hij de terugkomende ocsp-response o.i.d..
Dit opgelost, ruim 24 uur gewacht (omdat bankieren 24 uur was geblokkeerd) en toen was het in orde.

Of het (zoals de bank zegt) ook aan de digipas kan liggen weet ik niet, maar onderzoek eerst ocsp maar eens!
(of zet ocsp lekker uit als je kan, volgens mij werkt alles dan nog gewoon)

Het probleem zit niet alleen bij mensen die hun eigen firewall niet goed voor elkaar hebben.
Ook de OCSP server kan problemen hebben en dit komt bij bepaalde uitgevers best wel vaak voor.
Als je OCSP instelt als blokkerend voor een connectie (security.OCSP.require op true) dan zul je met de nodige regelmaat
sites niet kunnen bezoeken of functionaliteit binnen sites missen (bijvoorbeeld een reactieformulier op een wordpress
site wat https://jetpack.wordpress.com gebruikt en in plaats daarvan een OCSP foutmelding laat zien).
En in al die tijd dat ik dit aan heb staan heb ik nog NOOIT meegemaakt dat de foutmelding terecht was en me heeft
behoed voor een veiligheidsprobleem. Dus reken je niet te rijk: OCSP brengt je weinig, behalve soms problemen.
(wat dat betreft is het vergelijkbaar met IPv6 :-)

...en vragen over de ocsp configuratie...

Ik vraag me ook af wat een bank zou doen als de geheime sleutel van het certificaat in verkeerde handen is gevallen,
en wie dit het eerst weet: de bank of ocsp.
Wat zou de bank dan doen.
Zou internetbankieren offline gaan? Een waarschuwing?(totdat het certificaat is vervangen). Helemaal niks? Iets anders?

Hoe kan SNS-bank nu adviseren dat je bij die fout de digipas moet vervangen,
terwijl er in werkelijkheid iets mis gaat met ocsp?

Dat mogen ze daar bij SNS wel eens weten.