Załóżmy, że hierarchia PKI, jak poniżej.

root CA ==> inter-1 CA ==> user-1
  \
   \======> inter-2 CA ==> user-2

Moje pytanie brzmi: czy root CA musi również okresowo pobierać CRL od swoich dzieci: inter-1 i inter-2?

Ponieważ użytkownik-1 i użytkownik-2 mogą się wzajemnie uwierzytelniać, jeśli certyfikat użytkownika-2 zostanie unieważniony przez inter-2, inter-2 powinien powiadomić roota, a następnie propagować do inter-1 i user-1, prawda?

Jeśli tak, wydaje się to dość skomplikowane. Czy istnieje narzędzie do zarządzania logiką odwołań? Wielkie dzięki.