Sto ancora cercando di capire la funzionalità di un'autorità di certificazione, quindi se questo è ovvio, mi scuso.
Capisco che i CRL svolgano un ruolo quando la CA vuole invalidare un determinato certificato SSL. In ogni certificato SSL che ho controllato, sia gli URL OCSP sia quelli CRL vengono pubblicati in formato HTTP semplice. C'è qualche ragione particolare per distribuirli su HTTP?
Le probabilità che qualcuno rubi una chiave privata del server e lo spoofing della connessione dei client ai server della CA sono piuttosto scarse, ma mi chiedo se non c'è alcuna accessibilità o ragioni tecniche.
Come sempre, grazie per la tua attenzione e il tuo tempo