Vorrei capire come viene verificato il CRL e quindi il certificato dell'entità finale viene verificato quando è rinnovato un nuovo certificato e le chiavi della CA di emissione.
Supponiamo di avere la seguente configurazione:
- Pubblicazione di CA pubblicare CRL
- Certificati dell'entità finale emessi dalla CA emittente
- Servizio di convalida che convalida i certificati di entità finali emessi attraverso la catena di certificati e il CRL
Quando non ci sono cambiamenti, il certificato verrebbe convalidato senza problemi.
Ma cosa succede quando rinnovo il certificato CA con nuove chiavi? Il DN del certificato CA sarebbe lo stesso, ma il CRL pubblicato verrebbe firmato con una chiave diversa. Le vecchie chiavi e certificati CA sarebbero ancora validi perché la data di scadenza non era ancora stata raggiunta, ma non sarebbe stata utilizzata per pubblicare nuovi CRL.
Come verrebbe rilasciato il certificato dell'entità finale prima di rinnovare la CA convalidata con il certificato della CA rinnovata e i relativi CRL corrispondenti?