Estoy configurando mi propia PKI y encontré una pregunta a la que no pude encontrar una respuesta.
Quiero especificar CRLDistributionPoints en mis certificados de servidor, pero tengo curiosidad por utilizar la misma URL que usé para la CA o usar una por separado para cada certificado de servidor. ¿Qué es la "mejor práctica" / razonable? No entiendo CRLs.
Se supone que cada certificado de CA tiene una y solo una CRL. Se serializa y se firma con ese certificado de CA, y cada número de serie subsiguiente reemplaza a los anteriores. Sin embargo, los artículos no deben ser removidos nunca. No creo que el comportamiento se defina cuando una CA mantiene varias CRL concurrentes.
Dicho esto, como CA, debe (debe) mantener una CRL separada para cada certificado de CA (subordinada o de otro tipo).
El motivo de varios puntos de crlDistribution es permitirte aumentar la confiabilidad al dar múltiples URL. Esto no es realmente necesario porque hay muchas formas diferentes de proporcionar confiabilidad, pero puede ser útil, estoy seguro en algunos escenarios.
Lea otras preguntas en las etiquetas certificate-authority certificate-revocation