Hát például amikor az alkalmazás truststore-ját rakod össze, akkor az új intermediate CA-t is bele kell tenned.
Ez tévedés. A kliens nem az intermediate-ben bízik, hanem a root-ban. Részletek a másik kommentemben: https://hup.hu/comment/3193443#comment-3193443
Vagy épp a webszervernél állítod be a trustchaint. Ha az rossz, akkor könnyen hibába fogsz futni.
Lásd ugyanez. Amikor cert-et igénylek a webszerveremhez, nem érdekel, hogy konkrétan melyik intermediate írta alá. Amelyik aláírta, azzal konfigolom a webszerveremet. Eleve ez a folyamat jó esetben automatizált, úgyhogy nem is kell vele foglalkozni.
AWS: az eIDAS-hoz nem hinném, hogy van közük. Viszont mivel böngészők és OS-ek által általánosan elfogadott Root CA, ezért vélhetően ugyanazoknak a követelményeknek sikeresen megfelel, amin a NetLock elbukott, tehát CCADB-nek, Microsoft-nak, Google-nak megfelel.