Ez tévedés. A kliens nem az intermediate-ben bízik, hanem a root-ban.
Ez így nem igaz. A kliensnek meg kell bíznia mindkettőben. Ellenőrzéskor végig kell tudnia mennie a láncon hiba nélkül. Ráadásul nem csak 3 szintű lehet a hierarchia.
Amikor cert-et igénylek a webszerveremhez, nem érdekel, hogy konkrétan melyik intermediate írta alá.
Hiba. Ki kell tudnom szúrni, ha véletlenül rossz intermediate CA írja alá a tansit. Tudom, az emberek 99%-a ezt sose ellenőrzi. Üzemeltetők is sokszor elsiklanak efelett.
AWS: az eIDAS-hoz nem hinném, hogy van közük.
A hit egy nagyon erős dolog. Ezért nem is szoktam vele vitatkozni.
Próbaként megnéztem ezt az AWS root CA-kat (https://www.amazontrust.com/repository/). Windows tanúsítványtárban csak 1 van benne (CN = Starfield Services Root Certificate Authority - G2). Az is RSA-s. Valószínűleg nem véletlenül. Tippre itt kereszthitelesítés lesz a háttérben. Azt meg ugye nem szeretjük (okkal). Lásd: https://www.cpacanada.ca/webtrustseal?sealid=11652