I certificati sono di natura transitoria: scadono e devono essere rinnovati. Ancora peggio, la validità di un certificato è di proprietà dell'ora corrente, poiché i certificati possono essere revocati in qualsiasi momento. Pertanto, se si desidera archiviare i documenti firmati e essere in grado di convalidarli in un secondo momento, sono necessari i timestamp. Vedi questa risposta per alcuni dettagli .
Mentre i timestamp proteggono i documenti firmati da una cessazione dell'attività dalla CA, una chiusura brusca sarebbe ancora un problema poiché, cessando di emettere CRL su base regolare, la CA revoca in modo efficace tutti i certificati esistenti (almeno questo è l'effetto dall'esterno). Normalmente, i contratti con CA includono clausole severe sulla continuità delle operazioni; fino a includere disposizioni finanziarie e / o garantire che, anche in caso di fallimento totale dell'attività, il CRL sarà emesso ancora per alcuni anni.
Quando rinnova il tuo certificato, ne stai acquisendo uno nuovo. Nulla ti obbliga a ottenere quel secondo certificato dalla stessa fonte dell'altro. Si può pensare a questi certificati come "il vecchio" e "il nuovo", ma da un punto di vista X.509 sono solo due certificati, che possono riguardare una CA distinta. Dovrai comunque rinnovare i certificati regolarmente, poiché hanno date di scadenza. Una CA fuori sede potrebbe "solo" costringerti a rinnovare prima del previsto.
In alternativa, potresti voler gestire la tua CA, ma sarà molto costoso se vuoi farlo correttamente (una CA seria è una tecnologia del 5%, 95% di persone e procedura).