Sé que las CA utilizan certificados intermedios para mitigar el impacto de tener que revocar una CA raíz (es decir, la necesidad de actualizar todos los clientes del navegador en las computadoras de todo el mundo).
Pero, sin embargo, un Certificado raíz tendrá que ser revocado tarde o temprano, después de unos 15 años. ¿Cómo se hace esto para minimizar la interrupción de las comunicaciones?
Los certificados raíz no necesitan ser revocados a menos que estén comprometidos. En caso de que estén comprometidos, pueden ser revocados colocándolos en una lista negra dentro de, por ejemplo. Un navegador, o eliminándolos por completo. Obviamente, no es posible crear una CRL ya que no habría una clave privada confiable; en su lugar, se trata de una operación fuera de servicio .
En general, es mejor crear un nuevo certificado raíz y dejar que el anterior caduque. Tenga en cuenta que los certificados subyacentes deben tener una fecha de caducidad inferior o igual a la fecha de caducidad de su principal. Por supuesto, los nuevos certificados raíz deben comunicarse de forma segura a, por ejemplo, Los fabricantes de navegadores. La forma en que se puede hacer es generalmente comunicada por los fabricantes del navegador, por ejemplo, consulte la política de Mozilla aquí .
Lea otras preguntas en las etiquetas digital-signature tls certificates