Už rozumím. Jde o to, že odvolaný certifikát z CRL zmizí, jakmile uplyne standardní doba platnosti certifikátu.
Na RFC se podívám. Asi vzniklo v době, kdy se časová razítka nenosila a certifikáty se vždy ověřovaly k současnosti.
Takto to docela podkopává jakýkoliv pokus o automatizaci (přístup k historickým seznamům asi není nijak standardizovaný). Navíc to značně zatěžuje prostředky, protože by to znamenalo, že ke každému certifikátu by se musel stáhnout vlastní CRL vydaný v době nejbližší po času podepsání. To už by se vyplatilo nasadit OCSP.
