Esta página parece indicar que cuando se utilizan certificados de clientes, los certificados se autentican mediante el certificado solo , sin referencia a ninguna contraseña (como lo hace con el inicio de sesión con tarjeta inteligente). Ninguna contraseña implica que no haya entrada de contraseña fallida, por lo tanto no hay bloqueo relacionado con la contraseña. Por supuesto, como con todas las cosas de Microsoft, esto requiere algunas pruebas exhaustivas.
El hecho de que los dispositivos descarguen correctamente las respuestas de CRL u OCSP depende de estos dispositivos, y personalmente dudo que lo hagan. Sin embargo, tenga en cuenta que el dispositivo autentica el certificado servidor ; la validación del certificado del cliente se realiza en el servidor, de modo que es el servidor el que debe descargar las respuestas CRL u OCSP cuando se utilizan los certificados de los clientes. El software de Microsoft tiende a realizar verificaciones de revocación más o menos adecuadamente (es decir, rechazan la conexión cuando no se puede obtener la CRL).
Mi parte cínica me dice que la mejor práctica con PKI es probablemente huir lo más rápido posible cuando se habla de los certificados X.509. Se sabe que mantener una PKI es mucho trabajo. La PKI de Microsoft (Active Directory Certificate Services) hace muchas cosas automáticamente y funciona mejor cuando todos los sistemas involucrados son parte del mismo dominio que el CA.