Digamos que alguien firma un documento para la validación a largo plazo utilizando un certificado emitido por una CA de confianza. A lo largo de los años siguientes, el documento se marca una y otra vez por múltiples TSA de confianza.
Ahora nos proyectamos en un futuro lejano, es decir, dentro de 40 años. El CA original ya no existe, está fuera del negocio. Ciertamente puedo validar la integridad de la firma original, pasando por y validando la cadena de marcas de tiempo. Pero, ¿cómo puedo estar seguro de que el certificado de firmante fue realmente emitido por la misma CA en la que se confió hace muchos años, pero que desde entonces ha desaparecido? ¿Debería haber conservado una copia del certificado de CA desde el momento en que estuvo activo y de confianza, y preservar su integridad utilizando marcas de tiempo? ¿Tendría esto más confianza en la validación?
Editado para aclarar:
Permite tener 2 documentos D1 y D2 . Ambos contienen una firma válida S1 y S2 , y ambos fueron marcados con la marca TSA de confianza (¡podrían ser las mismas TSA!). La única diferencia es que el certificado S1 se emitió desde CA1 y el certificado S2 se emitió desde CA2 . Desde un punto de vista de integridad, todo es válido. Desde un punto de vista de origen, hace 40 años, cuando se firmaron ambos documentos, solo confiamos en CA1 . CA1 y CA2 ya no existen. ¿Cómo puedo asegurarme, sin lugar a dudas, que D1 es un documento en el que confío (porque se firmó una vez que confiamos en CA1 ), y D2 un documento en el que no confío.
Tal vez esto se resuelva solo con una marca de tiempo, pero creo que estaría confiando en el proceso por el que pasó el documento, en lugar del documento en sí.