Sto cercando di implementare alcuni PKI per un paio di client diversi, alcuni grandi e altri piccoli. Per risparmi sui costi (e altri motivi) stiamo contemplando l'hosting di una o più CA di emissione in AWS utilizzando il (nuovo) CloudHSM. Speravo che potessimo portare l'HSM offline per la maggior parte del tempo per ridurre i costi, e solo averlo disponibile durante certe finestre temporali quando è possibile emettere nuovi certificati. Quando un certificato deve essere revocato, porteremo su HSM per generare il nuovo CRL e poi immediatamente lo ritireremo. Le risposte CRL verranno memorizzate nella cache in un CDN che riceverà una copia aggiornata prima della scadenza del CRL (non supporteremo OCSP).
Al di fuori delle situazioni che richiedono l'emissione immediata di certificati (che potremmo gestire nello stesso modo in cui gestiamo la revoca dei certificati, se necessario), ci sono degli aspetti negativi di questo approccio?