¿Debe una CA publicar las CRL actualizadas incluso si no revocaron ningún certificado? ¿Y qué ocurrirá si la última CRL es más antigua que la permitida en default_crl_days cuando se generó el certificado?
Saludos.
¿Debe una CA publicar las CRL actualizadas incluso si no revocaron ningún certificado? ¿Y qué ocurrirá si la última CRL es más antigua que la permitida en default_crl_days cuando se generó el certificado?
Saludos.
Sí, las CRL deben volver a emitirse periódicamente en todos los casos. Incluso si no se revocaron los certificados. Esto se debe a que las CRL tienen un período de validez con el final específico de la fecha de validez determinado por el campo Next Update (o NotAfter ). Debe publicar una nueva CRL antes de esa fecha.
Si la CRL ha caducado, el motor de encadenamiento de certificados rechazará esa CRL y reportará un error RevocationOffline .
Lea otras preguntas en las etiquetas certificate-authority certificate-revocation crl