Realmente no entiendo por qué el enfoque para verificar la validez de los certificados es "válido hasta que se demuestre lo contrario" (listas de revocación).
En mi opinión, esto es un poco raro. Una CA debe realizar un seguimiento manual de todos los certificados que emitió y revocar explícitamente los que ya no deben autenticarse.
¿No tendría más sentido obligar a las entidades emisoras de certificados a mantener las bases de datos con los certificados que emitieron o incluso mejor: tener cada certificado firmado con una clave separada que se almacena en la base de datos de entidades emisoras de certificados y si desea revocar el certificado que acaba de ¿Tienes que borrar su entrada?
Porque si observa casos de uso como certificados de clientes en Apache, por ejemplo, siempre debe realizar un seguimiento de los certificados que emitió (por ejemplo, para cada empleado de una empresa). Una vez que un empleado abandona la empresa, tiene que revocar su certificado. Pero sin ssl / tls por defecto lo que le obliga a tener una "lista de certificados activa", ¿esto no crea un margen para errores (es decir, olvidarse de revocar un certificado de cliente)? Quiero decir que hay otros medios para hacer un seguimiento de eso (bases de datos, LDAP, etc.), pero ¿no debería el enfoque "no válido hasta que esté validado explícitamente" no ser al menos una opción? ¿O hay una solución para eso (excepto de software de terceros)?
Y además: ¿Por qué el CRL-URI en un certificado de DigiCert es http y no https, no significa esto que puedo falsificar esta dirección y devolver un "todo está bien y elegante" -CRL al cliente?
Me refiero a que la CRL de DigiCert tiene una firma debajo que le demuestra al cliente que esta es una CRL válida emitida por la CA, pero ¿es esto obligatorio? P.ej. ¿Los navegadores exigen una firma debajo de cada crl que reciben y qué hacen si no reciben ningún crl?