Tengo grandes problemas para entender en qué se diferencia la transparencia del certificado del mecanismo como CRL u OCSP, que permite obtener el estado de un certificado contactando directamente con la AC.
- Qué nombres de dominios se contactan cuando una aplicación quiere verificar el certificado de un servidor específico. ¿Qué se envía a esos dominios? (solo sé que se trata de registros)
- Como no se envía ninguna solicitud a CA en ninguna parte del proceso, ¿por qué no funciona si el emisor del certificado no admite la transparencia del certificado?
- ¿Protege solo contra certificados emitidos incorrectamente, o puede reemplazar completamente a OCSP porque protege todos los casos de certificados revocados (por ejemplo, de atacantes que han robado claves privadas en un servidor) ?
- ¿El servidor, al que intenta conectarse el cliente, tiene que ser compatible con la transparencia del certificado? (como con el grapado OCSP)