A veces, las AC se comprometen, como Diginotar o Comodo. En tal incidente, cualquier cosa puede suceder si se revocan certificados individuales a todo el árbol que se está limpiando de la tienda de certificados. Una empresa que no se da cuenta de esto a tiempo puede encontrarse sin un CA de confianza.
En caso de que esto suceda, ¿TLS permite que un sitio web tenga básicamente un certificado de respaldo en caso de que se revoque el otro? ¿O eso lleva a otros problemas de seguridad?
Para que quede claro: no estoy hablando de tener varias CA raíz que validen su sitio web con el mismo certificado para tener más confianza. Estoy hablando de tener un certificado de respaldo, ya implementado en el sitio web, que se verifica automáticamente en caso de que su CA predeterminada sea revocada, por lo que su sitio web siempre tiene confianza.