Data un'autorità di certificazione di base (CA) e una CA intermedia firmata dalla radice:
-
Quale CRL deve contenere crlDistributionPoints per la CA intermedia? CRL della CA principale o CRL della CA intermediaria?
È logico che ogni certificato faccia riferimento al CRL della CA che lo ha firmato.
-
Quale CRL dovrebbe contenere la CA radice, se esiste?
Sembrerebbe che dal momento che è autofirmato, dovrebbe puntare al proprio CRL.
-
I certificati utente o server firmati dalla CA intermediaria puntano al CRL della CA intermedia o entrambi i CRL dell'intermedio e della radice?
Per favore, cita la RFC se puoi. Non riesco a trovare una risposta chiara lì da solo.
Chiesto in un altro modo, dove un cliente dovrebbe cercare un CRL per vedere se un dato certificato è stato revocato? Nel certificato stesso o nel certificato della CA di firma?