Supongo que esto está relacionado con ¿Qué es una autoridad de certificación intermedia? pero creo que mi pregunta es un poco diferente, así que la haré de todos modos.
¿Por qué la mayoría de las autoridades de certificación modernas (por ejemplo, VeriSign) requieren dos intermedios? Y si se necesita más de uno por motivos de seguridad, ¿por qué "solo" dos? ¿Por qué no tres? O cuatro?
Creo que es más una preocupación de seguridad como se destaca en 1 .
Las entidades de certificación como VeriSign utilizan el concepto de jerarquía (o cadena de confianza) de dos niveles para proporcionar más seguridad. Esto se debe a que las funciones de las CA primarias y secundarias están separadas y pueden estar alojadas en diferentes servidores, tal vez en diferentes ubicaciones geográficas.
Por lo tanto, lo más probable es que se tomen más precauciones para salvaguardar las claves privadas de la CA primaria que las otras CA intermedias (que tienen menor poder de "emisión de certificados"). Por lo tanto, el compromiso de una CA intermedia no lleva directamente al compromiso de la CA primaria u otras CA.
He encontrado una buena explicación aquí: enlace
Para resumirlo: En el caso de un diseño de 1 capa (RootCA emite certificados de punto final): no se recomienda debido a razones obvias.
En el caso de un diseño de 3 capas grande y costoso, obtiene una gran escalabilidad, puede aplicar diferentes políticas de CA en cada una de las CA intermedias fuera de línea, puede revocar parte de su "árbol" de PKI y seguir trabajando bien con el resto. Es utilizado por marcas de CA conocidas en todo el mundo, como GoDaddy, Symantec, Thawte, ...
En el caso de 2 niveles, es un compromiso entre ambos. Por lo general, se utiliza para las necesidades internas de la empresa, para la empresa PKI. RootCa está preinstalado solo en las PC de la empresa. Es relativamente barato, bien manejable por 2-3 personas y aún escalable. Puede tener un nivel IntermediateCA de CA en línea, que utiliza para emitir certificados de dominio internos, certificados VPN, certificados de acceso de terceros, ... - cada CA con una política diferente.
Lea otras preguntas en las etiquetas tls certificates certificate-authority