Ciò che sostanzialmente intendo chiedere è: come viene gestito lo scenario in cui un utente che visita un sito Web per la prima volta (il certificato per il sito Web non è bloccato nel browser)? Inoltre, come viene gestita la revoca?
Il modo in cui la fiducia nel primo tocco viene gestita per il blocco è mediante l'uso di elenchi di pre-caricamento, in cui il certificato da utilizzare viene caricato nel software client alla distribuzione.
Puoi visualizzare ulteriori informazioni sui domini che Firefox ha precaricato qui
La revoca con pinning è un argomento interessante. Quello che ho visto suggerito è che pin due chiavi, una che usi live e una di backup che tieni offline. In questo modo se hai bisogno di revocare il tuo certificato principale ne hai uno di riserva da usare.
Senza di questo, se revochi il certificato, potresti trovarti in una situazione di disturbo a seconda della tua base di clienti.
Il blocco è una tecnica di sicurezza applicata a qualsiasi elemento crittografico, principalmente certificati e chiavi pubbliche. Per lo più chiavi pubbliche in quanto possono essere riutilizzate per emettere più certificati.
Il blocco assicura che la CA corretta e attendibile (autorità di certificazione) abbia emesso il certificato. Pertanto, quando visiti, google.com, il browser (ad esempio Google Chrome), verifica se la CA intermedia è un certificato aggiunto e se è contrassegnata come CA elencata in bianco.
Non esiste una soluzione chiara a quale certificato della catena deve essere aggiunto, Per ora Chrome controlla di vedere quello intermedio in quanto la sua chiave pubblica è incorporata nel certificato del sito web.
Leggi altre domande sui tag certificates certificate-authority certificate-revocation