He leído que Java proporciona la comprobación de OCSP y CRL para CertPaths a través de: Security.setProperty ("ocsp.enable", "true"); System.setProperty ("com.sun.security.enableCRLDP", "true");
¿Estas implementaciones comprueban también el OCSP y la CRL de las CA intermedias, o solo verifican el certificado hoja?
El código fuente parece decir que sí. Consíguelo en allí ; luego mira los archivos en jdk/src/share/classes/sun/security/provider/certpath/ . En particular, PKIXCertPathValidator.java implementa el mecanismo de validación. En el método doValidate() , las clases que realizarán la comprobación de OCSP o CRL se instanciarán como OCSPChecker o CrlRevocationChecker , y se aplicarán al final de todos los certificados en la ruta (esto se realiza mediante un PKIXMasterCertPathValidator instancia).
Sin mirar el código, este comportamiento podría haberse deducido de documentación de la API en java.security.cert.PKIXCertPathChecker : el método init() explica claramente que todos los certificados en la ruta se enviarán a la instancia del verificador.
Lea otras preguntas en las etiquetas public-key-infrastructure tls certificates