Revocar un certificado significa lo siguiente: "aunque el contenido de ese certificado se vea bien, el certificado no se debe utilizar". Es una forma de "cancelar" la firma criptográfica en el certificado.
Antes de usar un certificado (es decir, utilizando la clave pública contenida en el certificado, por ejemplo, como parte de una conexión SSL), el certificado debe validarse, lo que significa que la firma en el certificado debe verificarse en relación con el público clave contenida en un certificado de CA. Esto implica utilizando el certificado CA, por lo que la firma en ese certificado también debe verificarse, y así sucesivamente, hasta una "CA raíz", también conocida como "ancla confianza", que se supone que siempre se verifica (está codificado en cualquier software que esté haciendo la verificación).
Si se revoca un certificado de CA, no se puede usar (ese es el punto de revocar un certificado: para que ya no se use). En particular, la validación de certificados ya no debería poder usar ese certificado de CA.Los certificados que emitió esa CA son no revocados: posiblemente, pueden ser verificables con otro certificado de CA que contiene la misma clave: un certificado de CA es como cualquier otro certificado, vincula un nombre con una clave pública; nada impide la existencia de varios certificados distintos que afirman que vinculante, y esta es una situación normal en el caso de "puente CA" (utilizado principalmente para que algunos certificados se puedan verificar con respecto a varios anclajes de confianza). Por supuesto, si se revoca el certificado de CA porque la clave privada de la CA fue robado, entonces el curso de acción razonable ha de revocar todos certificados emitidos a que CA y los certificados emitidos por que CA será ya no es verificable por nadie.
Por lo tanto, para resumir, revocar un certificado de CA no revoca todos los certificados emitidos por esa CA, pero impide verificar esos certificados a través de esa CA.
Entonces, en una implementación donde la CA comprometida ha emitido cientos de certificados, ¿cuál sería el proceso para renovarlos? ¿Existe un enfoque estándar? – Cratylus