以下のような PKI 階層があるとします。
root CA ==> inter-1 CA ==> user-1
\
\======> inter-2 CA ==> user-2
私の質問は次のとおりです。ルート CA は、その子である inter-1 と inter-2 から CRL を定期的にダウンロードする必要がありますか?
user-1 と user-2 はお互いに認証できるので、inter-2 が user-2 の証明書を失効させた場合、inter-2 は root に知らせてから inter-1 と user-1 に伝播するはずですよね?
もしそうなら、それはかなり複雑に思えます。失効ロジックを管理するために使用するツールはありますか? どうもありがとう。