_ たしかに RFC としては CRLに失効理由として一時停止という状態が定義されていて、 OCSPでは一時停止状態でも恒久失効と同じに扱うと定義されている。
_ が、各 OS、ブラウザにインストールされている「信頼されるルート CA」は、これだけでなくさらに CA/Browser Forum で策定される基準にしたがっている。で、その baseline requirementsに
4.9.13. Circumstances for Suspensionと規定されてるそうで。RFC 的には一時停止状態ってのもありうるけど、まっとうな CA ではそういうのは許さん、恒久的な失効しかありえん、と。
The Repository MUST NOT include entries that indicate that a Certificate is suspended.
_ ということで、OCSP で失効させたものを復活させたという globalsign の対処は妥当だったのかどうかという疑念が再発するわけだけど、わしみたいな素人が思いつくような疑問は当然のように 識者たちでも議論が始まっていた。うん、どうなるんかね。
_ さらに globalsign の件とはまったく関係なく、 Comodo SSL もやらかしたようで。証明書の発行プロセス中のドメイン所有者の確認に問題があり、正しくない相手に証明書を発行してしまったと。で、その理由が「OCR の読み取りエラーで l と 1 を間違えた」というナナメウエすぎるものでお口ぽかーん。