<br><div class="gmail_extra"><div class="gmail_quote">On Wed, Dec 12, 2012 at 12:32 AM, Hans Leidekker <span dir="ltr"><<a href="mailto:hans@codeweavers.com" target="_blank">hans@codeweavers.com</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div class="im">On Tue, 2012-12-11 at 12:59 -0800, Juan Lang wrote:<br>
> Getting the client to trust the server cert can be as easy as ignoring untrusted<br>
> root errors, if you don't think this impacts the revocation results.<br>
><br>
> Returning revocation is straightforward enough, assuming you have a server under<br>
> your control.<br>
<br>
</div>So self-sign the CRL too. I guess that might work if ignoring untrusted root<br>
errors extends to verification of the CRL.<br>
<br></blockquote><div>Actually, I was thinking a 2-certificate chain, with the root signing the CRL. I don't think a cert that revokes itself has a lot of meaning.</div><div>--Juan�</div></div><br></div>