TLDR: IT'S WRONG CERT
Il nome dell'emittente in quel CRL è
$ openssl crl -in file0 -noout -issuer
issuer=/C=IN/O=Gujarat Narmada Valley Fertilizers Company Ltd./OU=Certifying Authority/postalCode=380054/ST=Gujarat/street=Bodakdev, S G Road, Ahmedabad/houseIdentifier=301, GNFC Infotower/CN=(n)Code Solutions CA 2011-1
Il nome soggetto nel presunto certificato di firma è
$ openssl x509 -in file1 -noout -subject
subject= /C=IN/O=Gujarat Narmada Valley Fertilizers and Chemicals Limited/OU=Certifying Authority/postalCode=380054/ST=Gujarat/street=Bodakdev, S G Road, Ahmedabad/houseIdentifier=301, GNFC Infotower/CN=(n)Code Solutions CA 2014
Questi non sono gli stessi. Il primo è "Fertilizers Company Ltd. " mentre il secondo è "Fertilizers and Chemicals Limited " e l'anno (o il numero dell'anno) in CN è diverso.
Inoltre, se ignoro questa mancata corrispondenza e controllo manualmente, la firma RSA nel CRL non "decodifica" (più accuratamente, ripristina) con il padding PKCS1-v1_5 valido utilizzando la chiave nel certificato di firma presunto. Ciò significa che è stato firmato con una diversa coppia di chiavi, che deve avere un certificato diverso.