El primer problema que puedo ver es cómo encontrar el primer certificado. Si ha visitado el sitio anteriormente, supongo que podría hacerlo, pero para cualquier persona que no tenga certificados de todos los sitios que ha visitado, necesitaríamos algo de infraestructura para poder buscar todos los certificados que se resuelven. un CN particular.
Además, un sistema de este tipo podría agregar otro punto de falla, ya que tal servicio podría ser atacado (o la misma lista de revocaciones podría ser atacada), lo que resultaría en una falla para poder autenticar un certificado.
Tampoco estoy seguro de que sea una gran amenaza para la seguridad. Según tengo entendido, la lista de revocaciones se utiliza principalmente para evitar que un certificado filtrado se use en un sitio fraudulento, no para evitar que un certificado fraudulento se use en cualquier lugar. Y, de hecho, con un sistema de este tipo, podría ser posible que el certificado deshonesto elimine la confianza del certificado real original, lo que podría ser aún más perjudicial.
Sí, el problema de los registradores deshonestos es un problema difícil de resolver y si tiene una tienda local del certificado en el archivo, entonces puede valer la pena mostrar una advertencia si se reemplaza antes del vencimiento, pero no estoy Seguro que queremos que se utilice la revocación por más que la pérdida de control de la clave privada o la emisión inicial no válida (que en realidad es otra forma de pérdida de control de la clave privada).