Dehogynem. Ha az aláíró tanusítványt kibocsátó tanusítványát kibocsátó tanusítványt (ejj de szép ez a magyar nyelv a dupla birtokos szerkezettel...) az OS nem ismeri/nem bízik meg, annak kihatása lehet az aláírás ellenőrzésére is (hiába passzol az aláírás, mivel nem hitelesíthető maga a tanusítvány, amihez az aláírás passzol, nem lesz hiteles). A trust chainnek meg kell lennie mindenféle tanusítvány alapú ellenőrzés esetén, különben egy támadó küldhetne neked egy digitálisan aláírt dokumentumot ami LÁTSZÓLAG a küldő tanusítványával van aláírva, kivéve, hogy azt a tanusítványt nem a NetLock hanem a LockNet írta alá mondjuk. Ha nem ellenőrzünk hitelességet az aláíró tanusítványt aláíró kibocsátó tanusítványon, akkor nem garantálható a trust chain konzisztenciája, így nem hitelesíthető a digitális aláírás - akkor sem, ha amúgy a dokumentum integritását igazolná az aláírás.
És ezen az se biztos, hogy segít, ha csatolják a CA főtanusítványt. Elvileg a legfölső (amúgy self-signed) tanusítványban az OS-nek magának kell megbíznia (épp azért, mert self-signed!), attól teljes mértékben függetlenül, hogy az csatolva van-e.
Mivel a Netlocknak a Gold a topmost főtanusítványa (azaz: ez egy self-signed tanusítvány), annak az invalidációja az összes Netlock által kibocsátott intermediate CA és normál tanusítvány érvényességét viszi magával.
Én is mocsok sokat küzdöttem mire megértettem a PKI logikáját, és most sem állítanám 100%-ra, hogy a fenti kocc nélkül megállja a helyét, de a tapasztalataim + a józan paraszti ész ezt diktálja.