Todavía estoy tratando de entender la funcionalidad de una Autoridad de Certificación, por lo que si esto es obvio, me disculpo.
Entiendo que las CRL desempeñan un papel cuando la CA quiere invalidar un determinado certificado SSL. En cada certificado SSL que verifiqué, las URL de OCSP y CRL se sirven en HTTP simple. ¿Hay alguna razón en particular para distribuirlos a través de HTTP?
Las posibilidades de que alguien robe la clave privada de un servidor y falsifiquen la conexión de los clientes con los servidores de CA son muy escasas, pero me pregunto si hay alguna otra razón técnica o de accesibilidad.
Como siempre, gracias por su atención y tiempo