Mi pregunta está relacionada con la revocación de la AC intermedia. Supongamos que tengo un dispositivo que realiza las comprobaciones de revocación en toda la cadena y asigna a las CA intermedias un nivel de confianza. Ahora supongamos que se revoca una de esas CA intermedias, ¿cómo conocerá el dispositivo su revocación ya que ya ha confiado en ella? Nunca tiraría un error. ¿Cómo se maneja esto en el mundo real?
El certificado de la CA intermedia debe especificar cómo se puede verificar la revocación. Si el dispositivo realiza verificaciones de revocación, entonces accederá a la CRL, utilizará OCSP o algo similar. Esa respuesta debe especificar que el certificado de CA intermedio fue revocado. Suponiendo que el dispositivo procese esta respuesta de manera apropiada, ya no confiaría en el certificado de CA intermedio, incluso si fuera previamente confiable.
En el mundo real, un problema común es a veces un dispositivo o software que no está diseñado para verificar la revocación en absoluto.
Lea otras preguntas en las etiquetas certificate-revocation ocsp crl