A Root CA és sub CA között csak a hierarchia szintjében van különbség.
Ez a "csak" nem tudom, nálad mit jelent, de szerintem ez pont, hogy egy óriási különbség. Ha új Root-ot akarsz bevezetni, az nyilván sok idő, hiszen jó előre el kell intézni, hogy mindenki bízzon benne. Az intermediate-ben meg egyből bízik mindenki, aki a Root-ban amúgy bízik.
Ezt kommunikálni kell az ügyfelek felé is.
Ez miért is fontos? Engem mint ügyfél miért kell, hogy érdekeljen, hogy milyen intermediate írt alá? Ez egy kb. implementation detail a CA részéről, legalábbis én így gondolom. Az ügyfél oldaláról milyen teendő van, ha eddig 'A' intermediate írt alá, és mostantól 'B' fog aláírni?
Ha ez mind ennyi kézi munkával járna, ahogy írod, akkor az AWS pl. hogyan implementálhatta ezt? https://aws.amazon.com/blogs/security/amazon-introduces-dynamic-interme…