Estoy considerando la implementación de algunas PKI para un par de clientes diferentes, algunos grandes y otros pequeños. Para ahorrar costos (y otras razones), estamos contemplando alojar a una o más de las CA que emiten en AWS utilizando el (nuevo) CloudHSM. Esperaba que pudiéramos desconectar el HSM la mayor parte del tiempo para reducir el costo, y solo tenerlo disponible durante ciertas ventanas de tiempo cuando se puedan emitir nuevos certificados. Cuando sea necesario revocar un certificado, abriremos el HSM para generar el nuevo CRL y luego lo retiraremos de inmediato. Las respuestas de CRL se almacenarán en la memoria caché en un CDN que obtendrá una copia actualizada antes de que caduque la CRL (no admitiremos OCSP).
Fuera de las situaciones que requieren la emisión inmediata de certificados (que podríamos manejar de la misma manera en que manejamos la revocación de certificados, si es necesario), ¿existen desventajas en este enfoque?