TLS上的p2p协议，正在同步中间证书

Question

想象一下一个类似比特币的网络，其中的对等点使用TLS之上的自定义协议进行通信。当两个对等体之间建立连接时，每一方都会验证对方的证书。根证书随软件一起提供。

可能存在中间证书，这些证书将在软件发货后创建。问题是，在创建新的中间证书时，交付它们的最佳方法是什么，以及如何实现证书吊销？

例如，有2个具有证书c1和c2的对等体p1和p2，它们中的每一个都由中间证书i1和i2签名，中间证书由根证书签名。

现在，我可以想象它可以使用一个集中式服务器实现，该服务器提供所有颁发的中间证书的列表，对等方只需不时地提取这些数据，以保持其本地副本最新。

对于如何处理这个问题，有没有通用的方法？

Answer 1

我不认为有任何必要在这里发明一种新技术来以某种方式分发这些信息。为此，只需使用已有的内容：

• 中间证书通常与叶证书一起在TLS握手中发送。不需要分发这些证书up-front.
• Revocation可以使用像OCSP这样的成熟技术来完成，要么通过询问中央服务器(OCSP响应器)证书是否被撤销，或者(最好)通过在TLS握手(OCSP装订)期间已经发送必要的OCSP响应来完成。