So che le CA utilizzano i certificati intermedi per mitigare l'impatto della possibilità di revocare un'autorità di certificazione principale (ad esempio, la necessità di aggiornare tutti i client browser sui computer delle persone in tutto il mondo).
Tuttavia, prima o poi il certificato di base dovrà essere revocato, dopo circa 15 anni. Come viene fatto per minimizzare l'interruzione delle comunicazioni?
I certificati root non devono essere revocati a meno che non vengano compromessi. Nel caso in cui vengano compromessi, possono essere revocati inserendoli su una lista nera all'interno, ad es. un browser o rimuovendoli del tutto. Ovviamente non è possibile creare semplicemente un CRL in quanto non ci sarebbe una chiave privata attendibile; invece questa è un'operazione fuori ordine .
In generale è meglio creare un nuovo certificato di root e lasciare scadere quello vecchio. Si noti che i certificati sottostanti dovrebbero avere una data di scadenza inferiore o uguale alla data di scadenza del loro genitore. Naturalmente i nuovi certificati radice devono essere comunicati in modo sicuro ad es. i produttori di browser. Come ciò possa essere fatto è generalmente comunicato dai produttori del browser, ad es. consulta la politica di Mozilla qui .
Leggi altre domande sui tag digital-signature tls certificates