¿Qué es una práctica para emitir certificados TSA (Time Stamping Authority)?
Leí que los certificados TSA deberían emitirse directamente desde la CA raíz, pero básicamente el certificado de la TSA es el certificado de la entidad final y la CA raíz no debería emitir certificados para las entidades finales.
¿Debo emitir un certificado TSA de Root CA o debo emitir un CA intermedio dedicado para emitir un certificado TSA?
Su argumento es correcto, en la mayoría de los casos, debe crear un certificado intermedio, que emite su certificado de marca de tiempo.
La única razón que se me ocurre para crearlo directamente desde la raíz sería que los administradores de PKI muy pequeñas desean evitar la sobrecarga administrativa adicional de una CA intermedia adicional para un tipo de certificado que solo se emitirá muy raramente (probablemente menos de un certificado por año). Se puede hacer en un entorno de empresa privada, pero definitivamente es una mala práctica.
Lea otras preguntas en las etiquetas certificates certificate-authority timestamp