Viszont egy intermediate-nél új intermediate-t kell kiadni már évekkel korábban - praktikusan 3-5 évvel korábban, mint hogy a régi intermediate lejárna. Amíg az új subCA bekerül a "vérkeringésbe", az is idő - addig nem lehet élesben használni.
Ezt kifejtenéd, hogy itt mire gondolsz, miért kell éveket várni? Mintha összekevernéd a Root CA-val az intermediate-et. Ha létrejön egy új intermediate, és az intermediate aláír egy normál tanúsítványt, akkor rögtön használható a normál tanúsítvány azok által, akik amúgy megbíznak a Root CA-ban.