История изменений

Вот смотри: ты сгенерил сертифкат СА, подписал им сертификат сервера, потом нагенерил клиентских сертификатов, подписал их тем же СА и раздал их клиентам.
Допустим, всем нагенерил на год, а одному, Васе, - на неделю.
Через две недели приходит Коля (с хорошим сертификатом) и посылается нафиг.
Вопрос: откуда nginx узнал, что где-то у далекого Васи истек срок действия его, васиного, сертификата?
Или nginx начинает отпинывать юзеров только _после_ того, как просроченный Вася попытается влезть на сайт?
А пока что я думаю, что у тебя истекает срок действия сертификата сервера или СА одновременно с юзерским, либо какая-то сволочь самостоятельно апдейтит CRL и все твои юзерские сертификаты внутри носят один и тот же ключ.

Вот смотри: ты сгенерил сертифкат СА, подписал им сертификат сервера, потом нагенерил клиентских сертификатов, подписал их тем же СА и раздал их клиентам.
Допустим, всем нагенерил на год, а одному, Васе, - на неделю.
Через две недели приходит Коля с хорошим сертификатом, и посылается нафиг.
Вопрос: откуда nginx узнал, что где-то у далекого Васи истек срок действия его, васиного, сертификата?
Или nginx начинает отпинывать юзеров только _после_ того, как просроченный Вася попытается влезть на сайт?
А пока что я думаю, что у тебя истекает срок действия сертификата сервера или СА одновременно с юзерским, либо какая-то сволочь самостоятельно апдейтит CRL и все твои юзерские сертификаты внутри носят один и тот же ключ.