da la confirmación pública de que el certificado
fue efectivamente emitido (y no solo el pre-certificado)
Para citar RFC6962bis ( draft-ietf-trans-rfc6962-bis -28 ), sección 3.2:
"signature" MUST be from the same (root or intermediate) CA
that will ultimately issue the certificate. This signature
indicates the CA's intent to issue the certificate. This
intent is considered binding (i.e., misissuance of the
precertificate is considered equivalent to misissuance of the
corresponding certificate).
Esencialmente, lo que eso significa es que si un precertificado en un registro de CT está presente, entonces, en cualquier sentido relacionado con la transparencia del certificado, el certificado final fue, de hecho, emitido.
Otros detalles operativos (por ejemplo, si el certificado se emitió en ese momento, si el certificado emitido se envió al cliente o no, si el cliente recibió el certificado, si lo implementó, etc.) queda fuera del alcance del marco de transparencia del certificado. .
(También se entiende, creo, que en caso de que el certificado se haya emitido realmente, y no solo se haya emitido, sino que se haya obtenido por el cliente de la autoridad certificadora, el cliente: por lo general, se lo denomina "operador de servidor" en los documentos relacionados con CT - pueden enviar el certificado final si tienen una política de este tipo.)
Por lo tanto, no quedan ventajas. Sin embargo, el inconveniente que ha mencionado aún persiste. Por lo tanto, la puntuación final es 0: 1 contra el envío de certificados finales.