¿Cómo funciona la revocación de certificados con las CA intermedias?
Supongamos una jerarquía PKI como la de abajo.
root CA ==> inter-1 CA ==> user-1
\
\======> inter-2 CA ==> user-2
Mi pregunta es: ¿la CA raíz también necesita descargar periódicamente CRL de sus hijos: inter-1 e inter-2?
Dado que el usuario 1 y el usuario 2 pueden autenticarse entre sí, si el certificado del usuario 2 es revocado por inter-2, inter-2 debe informar a la raíz y luego propagarse a inter-1 y usuario-1, ¿verdad?
Si es así, parece bastante complicado. ¿Hay alguna herramienta para usar para administrar la lógica de revocación? Muchas gracias.