L'impatto è negativo. Qualsiasi certificato nell'albero PKI fallirà il controllo delle revoche e la maggior parte delle applicazioni rifiuterà i certificati.
Quello che devi fare è attivare la CA root offline, generare un nuovo CRL e copiarlo nel punto di distribuzione CRL. È necessario avviare la CA radice ogni volta che si verifica la seguente condizione:
- Il certificato CA root è prossimo alla scadenza e il rinnovo del certificato CA è richiesto.
- un nuovo certificato CA subordinato deve essere emesso o rinnovato.
- suborinate il certificato CA deve essere revocato.
- root CA CRL sta per scadere e deve essere aggiornato.