En el almacén de certificados de Windows, un certificado de CA intermedio sin extensión de uso de clave se considera elegible (siempre que tenga el indicador isCA de las restricciones básicas, por supuesto) para los certificados de entidad final cantante (dicha cadena se considera válida). Pero, RFC 5280 afirma que
4.2.1.3. Uso de claves
Las CA conformes DEBEN incluir esta extensión en los certificados que contienen claves públicas que se utilizan para validar firmas digitales en Otros certificados de claves públicas o CRLs. Cuando están presentes, las CA conformes DEBE marcar esta extensión como crítica.
Mi entendimiento es que una ausencia de la clave de uso ext. Es una incapacidad del certificado de CA intermedio para firmar otros certificados. ¿Se trata de un error en el procedimiento de la cadena de validación de Windows o mi mala interpretación de RFC?