Предположим, что иерархия PKI как ниже.

root CA ==> inter-1 CA ==> user-1
  \
   \======> inter-2 CA ==> user-2

Мой вопрос: нужно ли корневому CA периодически загружать CRL от своих дочерних элементов: inter-1 и inter-2?

Поскольку user-1 и user-2 могут аутентифицировать друг друга, если сертификат пользователя-2 отозван в inter-2, inter-2 должен сообщить root и затем распространиться в inter-1 и user-1, верно?

Если так, это кажется довольно сложным. Есть ли какой-либо инструмент для управления логикой отзыва? Большое спасибо.