CABForum“基线要求”

Web 上的 TLS 证书主要受 CA-Browser Forum Baseline Requirements 的约束，所有公众信任的 CA（浏览器供应商）都必须遵守。

在基线要求 (BR) 中，根本没有明确要求使用中间证书。理论上，CA 可以使用其根证书的密钥签署所有证书。但从实际的角度来看，中间体是必要的，因为根密钥通常保持离线状态以保护它免受恶意行为者的破坏。

如果将中间证书颁发给第三方，则该第三方将成为原始根 CA 的从属 CA。在这种情况下，BR 指定从属 CA 必须像根 CA 一样遵循基线要求：

第 1.1 节说：

这些要求适用于信任链中的所有证书颁发机构。它们将从根证书颁发机构通过连续的下级证书颁发机构向下传递。

目前，基线要求授予根 CA 确保其从属 CA 遵循基线要求的责任。

第 9.6.1 节说：

根 CA 应负责从属 CA 的性能和保证，从属 CA 遵守这些要求，以及从属 CA 在这些要求下的所有责任和赔偿义务，就好像根 CA 是从属 CA 签发证书

Mozilla 根存储策略

此外，某些浏览器的根存储程序可能会对中间证书施加超出基线要求要求的额外规定。例如，Mozilla 要求在其根存储要求的第 5.3.2 节中公开披露任何从属 CA 证书的存在：

所有能够用于颁发新证书、不受技术限制的证书，以及直接或传递链接到包含在 Mozilla 根程序中的证书的证书都必须根据 Mozilla 的根存储政策进行审核，并且必须在CADB 的证书包含在 Mozilla 的根程序中。具有包含在 Mozilla 根程序中的证书的 CA 必须在证书创建后的一周内披露此信息，并且在任何此类从属 CA 被允许颁发证书之前。所有披露必须免费提供，且无需额外要求，包括但不限于注册、法律协议或对全部或部分证书重新分发的限制。

除此之外，我不知道有任何进一步的标准来规范中间证书的使用。

查看公众信任的代码签名证书的颁发和管理的最低要求。这份文件的部分内容是什么？

这些要求的范围包括如下定义的所有“代码签名证书”和相关的时间戳授权机构，以及在技术上能够颁发代码签名证书的所有证书授权机构，包括任何公开信任的代码签名根 CA和所有其他 CA可能有助于完成到此类根 CA 的验证路径（强调我的）。

希望这有你正在寻找的东西，或者至少是朝着正确方向迈出的一步。