Nell'archivio certificati di Windows, un certificato CA intermedio senza estensione Utilizzo chiave è considerato idoneo (purché sia contrassegnato con flag ACCA da Constraints di base) per cantare certificati di entità finale (tale catena è considerata valida). Ma RFC 5280 afferma che
4.2.1.3. Key Usage
Conforming CAs MUST include this extension in certificates that contain public keys that are used to validate digital signatures on other public key certificates or CRLs. When present, conforming CAs SHOULD mark this extension as critical.
La mia comprensione è che un'assenza di Key Usage ext. è un'incapacità del certificato CA intermedio di firmare altri certificati. Si tratta di un errore nella procedura di convalida della catena di Windows o nel mio fraintendimento di RFC?