Considerando che alcuni certificati CA sono hardcoded nei sistemi operativi, mi chiedevo cosa succederebbe quando uno di questi certificati hardcoded è stato revocato (mettere un elenco di revoche per esempio) a causa del suo essere compromesso?
Il sistema operativo ha un sistema per aggiornarlo in caso di revoca? Come? E come può essere aggiornato dopo che è scaduto?
Come si può vedere da Può essere revocata una RootCA? nessun meccanismo all'interno di un PKI che una CA radice venga rimossa. Ciò significa che è necessario un meccanismo al di fuori della PKI. Ciò consiste in genere in un aggiornamento del negozio di fiducia tramite l'aggiornamento del browser o del sistema che rimuove questo certificato dall'archivio fidato o lo contrassegna come non attendibile.
Tali eventi si sono verificati in passato ad esempio con DigiNotar . Questo caso è stato gestito dagli aggiornamenti dei browser Firefox e Chrome, degli aggiornamenti di Microsoft Windows e di iOS e Mac OS X.
Leggi altre domande sui tag certificates certificate-authority certificate-revocation