Por lo que puedo decir, una CA está en condiciones de revocar un certificado de forma unilateral a través de los mecanismos estándar (CRL, OCSP).
En un mundo cada vez más TLS, ¿qué tecnología actual detiene a una CA que cierra un servicio que no les gusta?
Presión de los compañeros, efectivamente.
Hay una estructura de confianza de múltiples capas: las CA confían en los fabricantes de navegadores para que incluyan sus certificados raíz y no los eliminen sin motivo. Los fabricantes de navegadores confían en que las CA solo firmen certificados para solicitudes legítimas, e implícitamente aceptan creer esto, con la amenaza de eliminar los certificados raíz de las CA que en realidad no lo hacen. Los propietarios de sitios web confían en que las CA trabajen para mantener sus certificados raíz en todos los paquetes populares del navegador (ya que agregar certificados manualmente es un obstáculo enorme para la experiencia del usuario), y los fabricantes del navegador deben mantener los certificados raíz en sus paquetes, a menos que exista alguna buena razón. a (por ejemplo, la CA solicitó que se eliminen).
Por lo tanto, si una CA revocó unilateralmente un certificado, los fabricantes del navegador podrían exigir una razón y, si consideraban que la razón era insuficiente, eliminar los certificados de raíz que pertenecen a esa CA. Es poco probable que lo hagan, a menos que sea un patrón (por ejemplo, revocar certificados pertenecientes a sitios en favor de un partido político determinado).
Por definición , la CA está gestionando la revocación. De hecho, es una forma conceptualmente mejor de expresar cosas como: el CA reemite todos los certificados diariamente. La CRL es un tipo de compresión de datos: desde el punto de vista del verificador (por ejemplo, el navegador web que valida el certificado del servidor SSL), el certificado es válido siempre y cuando la AC diga que está bien. Para hacer las cosas más ligeras, en lugar de que la CA firme un certificado nuevo para cada cliente todos los días, la CA firma certificados de larga duración e incluye solo los certificados revocados en la CRL. Esta es una optimización que funciona bajo el supuesto de que la mayoría de los certificados no serán revocados.
Dado que mantener el certificado a flote es el trabajo diario de la AC, no existe ninguna tecnología que pueda evitar que la CA deje de hacerlo. Lo que "obliga" a CA a no revocar certificados por capricho es ley de contratos (usted pagó a la CA por el servicio, por lo que está obligado por ley a mantener ese servicio) y la presión del mercado (si la CA revoca los certificados sin justificación, los clientes simplemente moverán su negocio a un competidor).
Lea otras preguntas en las etiquetas certificates ocsp crl