Estoy configurando una autoridad de certificación X.509 que emitirá solo tres tipos de certificados:
- certificados CA subordinados,
- certificados de firma de CRL, y
- certificados de respuesta de OCSP
Estoy interesado en poder revocar todos estos tipos de certificados si es posible (y, por supuesto, si es necesario ). Planeo usar la extensión del punto de distribución de emisión para emitir dos CRL con un alcance distinto: uno para CA certificados (es decir, onlyContainsCACerts=true ), y uno para los certificados de entidad final (es decir, onlyContainsUserCerts=true ). Todos los certificados incluirían la extensión del punto de distribución de CRL que enlaza con la CRL en la que aparecerían (con los certificados de CA que también tienen el nombre del certificado de firma de CRL como el emisor de la CRL).
Si la CA emite la CRL de la entidad final, y los certificados de firma de CRL solo emiten las CRL que contienen certificados de CA, ¿esto evita el problema de la gallina y el huevo al revocar una firma de CRL? ¿certificado? ¿Es un problema (para mí, el operador de CA) que el certificado de firma de CRL no esté técnicamente impedido de emitir una CRL que pueda contener certificados de entidad final (y, por lo tanto, sí)?
Secundaria a todo esto, ¿está la cuestión de si tales CRL son realmente compatibles con el software comúnmente utilizado por las partes confiables? He visto evidencia anecdótica de que ni Microsoft Windows ni Mozilla Firefox admiten CRL particionadas.