Teniendo en cuenta que algunos certificados de CA están codificados en los sistemas operativos, me preguntaba qué pasaría cuando uno de estos certificados codificados fuera revocado (por ejemplo, puesto en una lista de revocaciones) debido a que está comprometido.
¿El sistema operativo tiene un sistema para actualizarlo en caso de que sea revocado? ¿Cómo? ¿Y cómo puede actualizarse después de que haya expirado?
Como se puede ver en ¿Se puede revocar un RootCA? existe ningún mecanismo dentro de una PKI que elimina una CA raíz. Esto significa que se necesita un mecanismo fuera de la PKI. Esto consiste generalmente en una actualización del almacén de confianza a través de la actualización del navegador o del sistema que elimina este certificado del almacén de confianza o lo marca como no confiable.
Tales eventos ocurrieron en el pasado, por ejemplo, con DigiNotar . Este caso fue manejado por actualizaciones de los navegadores Firefox y Chrome, actualizaciones de Microsoft Windows y de iOS y Mac OS X.
Lea otras preguntas en las etiquetas certificates certificate-authority certificate-revocation