Dada una autoridad de certificado (CA) raíz y una CA intermedia firmada por la raíz:
-
¿Qué CRL deben contener los crlDistributionPoints para la CA intermedia? ¿La CRL de la CA raíz o la CRL de la CA intermedia?
Tiene sentido que cada certificado debe apuntar a la CRL de la CA que lo firmó.
-
¿Qué CRL debería contener la CA raíz, si corresponde?
Parece que, dado que está autofirmado, debería apuntar a su propia CRL.
-
¿Deben los certificados de usuario o servidor firmados por la CA intermedia apuntar a la CRL de la CA intermedia, o tanto a la CRL del intermediario como a la raíz?
Por favor, cita el RFC si puedes. Yo mismo no puedo encontrar una respuesta clara.
Preguntado de otra manera, ¿dónde buscaría un cliente una CRL para ver si un certificado dado ha sido revocado? ¿En el certificado en sí mismo o en el certificado de CA firmante?