Estoy trabajando con una CA emisora que no admite restricciones de nombre definidas en un nivel superior.
Suponiendo que emita certificados que cumplan con las restricciones de nombres que están definidas, ¿esto sería un problema con los clientes que validan la cadena?
No garantizaría que todos lo hagan bien, pero la cadena de certificados completa hasta una raíz confiable debe validarse para que sea válida para el nombre del certificado. Siempre y cuando los únicos certificados generados sean válidos, debería estar bien, pero si una CA intermedia firma algo que no está autorizado a firmar, la validación debe fallar ya que la CA intermedia no es confiable para realizar esa firma.
Lea otras preguntas en las etiquetas public-key-infrastructure certificates certificate-authority