Che cos'è una pratica per il rilascio dei certificati TSA (Time Stamping Authority)?
Ho letto che i certificati TSA dovrebbero essere emessi direttamente dalla CA principale, ma fondamentalmente il certificato TSA è il certificato dell'entità finale e la CA radice non dovrebbe rilasciare certificati per le entità finali.
Devo emettere il certificato TSA dalla CA principale o devo rilasciare una CA intermedia intermedia per il rilascio del certificato TSA?
Il tuo argomento è corretto, nella maggior parte dei casi dovresti creare un certificato intermedio, che emette il certificato di timestamping.
L'unica ragione per cui posso pensare di crearlo direttamente da root sarebbe che i gestori di PKI molto piccoli vogliono evitare il sovraccarico amministrativo aggiuntivo di una CA intermedia extra per un tipo di certificato che verrà emesso solo molto raramente (probabilmente meno di un certificato all'anno). Può essere fatto in un contesto aziendale privato, ma è decisamente una cattiva pratica.
Leggi altre domande sui tag certificates certificate-authority timestamp