CAが一方的に証明書を取り消すのを防ぐテクノロジーはありますか？

仲間の圧力、効果的に。

信頼の多層構造があります。CAは、ブラウザーメーカーがルート証明書を含めることを信頼し、理由なくそれらを削除しないようにします。ブラウザの製造元は、正当な要求の証明書にのみ署名することをCAに信頼し、これを信じることに暗黙的に同意します。実際にはこれを行わないCAのルート証明書を削除するという脅威があります。 Webサイトの所有者はCAを信頼して、すべての一般的なブラウザーバンドルにルート証明書を保持するように働きます（手動で証明書を追加することはユーザーエクスペリエンスにとって大きなハードルであるため）。ブラウザーメーカーは、何らかの理由がない限り、ルート証明書をバンドルに保持することを信頼します。する（たとえば、CAに削除を要求した）。

したがって、CAが一方的に証明書を取り消した場合、ブラウザーの製造元は理由を要求することができ、理由が不十分であることが判明した場合は、そのCAに属するルート証明書を削除します。それがパターンでない場合（たとえば、特定の政党を支持するサイトに属する証明書を取り消す場合）は、そうする可能性は低いです。

定義により、CAは失効を管理しています。実際、これは概念的には次のように表現するのに適しています。CAreissuesすべての証明書を毎日発行します。 CRLは一種のデータ圧縮です。検証者（たとえば、SSLサーバーの証明書を検証するWebブラウザー）の観点から見ると、CAがOKと言っている限り、証明書は有効です。物事を軽くするために、CAは毎日各顧客の新しい証明書に署名する代わりに、長期間有効な証明書に署名し、失効した証明書のみをCRLに含めます。これは、ほとんどの証明書が取り消されないという前提の下で機能する最適化です。

証明書をフロート状態に保つことはCAの日常的な仕事であるため、CAが停止するのを妨げる可能性のあるテクノロジーはありません。 CAが気まぐれに証明書を取り消さないように「強制」するのは、契約法（サービスのCAを支払ったので、維持するために法律に拘束されます）そのサービス）と市場のプレッシャー（CAが正当な理由なしに証明書を取り消す場合、顧客は単にビジネスを競合他社に移すだけです）。

サイトの所有者は、別のCAから別の証明書を取得するだけで、バックアップして実行できます。