Проверка в случае 3

В случае 3 проверяющий должен получить доступ к новому открытому ключу СА. Проверяющий делает следующее:

1. Смотрит атрибут саCertificate в директории и получает NewWithOld- сертификат (определяемый на основе периода действительности);
2. Проверяет, корректен ли он, используя старый открытый ключ СА (который хранится локально);
3. В случае корректности проверяет сертификат подписавшего, используя новый открытый ключ СА.

Случай 3 имеет место, когда оператор СА выпускает сертификат проверяющего, затем изменяет ключ и выпускает сертификат подписавшего; таким образом, это вполне типичный случай.