Выполняя отладку в механизме проверки сертификатов X509 Java, мне просто интересно, как отзываются сертификаты? Из RFC 4158 (и документации, связанной с PKI) я узнал, что каждый ЦС (или Сторона, предоставляющая якоря доверия) может выдавать CRL (список отзыва сертификатов).
Загружает ли Java CRL самостоятельно или просто будет предоставлять обновленную информацию с каждой (второстепенной) версией, которую я обновляю?
Какие варианты существуют для пользовательской инфраструктуры (рекомендуется ли предоставлять один раз собственный (глобальный) TrustManager?)