Lo que esencialmente quiero preguntar es, ¿cómo se maneja el escenario donde un usuario que visita un sitio web por primera vez (el certificado para el sitio web no se encuentra en el navegador)? Además, ¿cómo se maneja la revocación?
La forma en que se maneja la confianza en el primer toque para el anclaje es mediante el uso de listas de precarga, donde el certificado para anclar se carga en el software del cliente en la distribución.
Puede ver más información sobre los dominios que Firefox ha precargado here
La revocación con anclaje es un tema interesante. Lo que he visto sugerido es que usted fija dos claves, una que usa en vivo y una copia de seguridad que mantiene fuera de línea. De esa manera, si necesita revocar su certificado principal, tiene uno de repuesto para usar.
Sin eso, si revoca su certificado, podría sentirse molesto dependiendo de su base de clientes.
El anclaje es una técnica de seguridad aplicada a cualquier elemento criptográfico, principalmente certificados y claves públicas. Principalmente claves públicas, ya que pueden reutilizarse para emitir varios certificados.
La fijación asegura que la CA (entidad de certificación) correcta y confiable, haya emitido el certificado. Por lo tanto, cuando visite, digamos, google.com el navegador (es decir, Google Chrome), verifica si la CA intermedia es un certificado anclado y si está marcado como CA en la lista blanca.
No hay una solución clara a qué certificado de la cadena se debe fijar. Por ahora, Chrome verifica el intermedio, ya que su clave pública está incrustada en el certificado del sitio web.
Lea otras preguntas en las etiquetas certificates certificate-authority certificate-revocation