Sto configurando un'autorità di certificazione X.509 che emetterà solo tre tipi di certificato:
- Certificati CA subordinati,
- Certificati per la firma CRL e
- Certificati del risponditore OCSP
Sono interessato a poter revocare tutti questi tipi di certificato se possibile (e, naturalmente, se necessario ). Ho intenzione di utilizzare l' rilascio dell'estensione del punto di distribuzione per pubblicare due CRL con ambito distinto: uno per CA certificati (cioè onlyContainsCACerts=true ) e uno per certificati di entità finale (cioè onlyContainsUserCerts=true ). Tutti i certificati includeranno l'estensione del punto di distribuzione CRL che collega al CRL su cui verrebbero visualizzati (con i certificati CA che hanno anche il nome del certificato di firma CRL come emittente CRL).
Se la CA emette lo stesso CRL dell'entità finale e i certificati di firma CRL emettono solo CRL contenenti certificati CA, questo risolve il problema del pollo e dell'uovo con la revoca di una firma CRL certificato? È un problema (per me, l'operatore CA) che il certificato di firma CRL non sia tecnicamente impedito dall'emissione di un CRL che può contenere certificati di entità finale (e quindi, di per sé)?
Secondario a tutto questo è la questione se tali CRL siano effettivamente supportati in software comunemente usati dalle parti affidatarie? Ho visto prove aneddotiche per dire che né Microsoft Windows né Mozilla Firefox supportano CRL partizionati.