Для Алексея, извините, видимо конец дня, я не понимаю что вы пишите, может вы нарисуете картинку и напишите где какие сертификаты, где самоподписанные, где кроссы, где ГУЦ и т.д. Тогда может понятней будет.

Насколько я понимаю, и я тут уже неоднократно об этом писал, в 63-ФЗ написано, что аккредитованный УЦ получает от Головного УЦ (это Минкомсвязи) сертификат, с использованием которого вырабатывается подпись на сертификате энд-юзера. Соответственно в authorityKeyIdentifier кладутся данные именно выданного ГУЦ сертификата, а не самоподписанного (созданного локально). Далее мы выяснили, что ГУЦ имеет возможность управлять веткой подчинённости аккредитованного УЦ, вплоть до того что её вообще запретить. Что тут не понятно? При всём выше сказанном, я не понимаю о каких кроссах вы опять говорите. Повторяю, попробуйте нарисовать картинку и прописать на каждой связи ссылку на основании чего она сделана и сразу будет всё много понятней.
На мой взгляд – квалифицированный домен России – это получилась иерархия и связи в стороны в неквалифицированные домены запрещены, поскольку не прописаны в 63-ФЗ и у вас просто не будет ответа на основании какого НПА вы сделали кросс или подчинённость поперёк запрета из BasicConstraints. Всё остальное - это попытки принять желаемое за действительное.

Мы к сожалению начали бег по кругу :-(
1. Посмотрите пожалуйста ещё раз мой пост в котором я пишу вот это: "Статья 8. Полномочия федеральных органов исполнительной власти в сфере использования электронной подписи 2) осуществляет функции головного удостоверяющего центра в отношении аккредитованных удостоверяющих центров." Слово ГОЛОВНОЙ видите? Далее читайте что такое головной и плавно переходите к статье 13 п.4 где и есть ответ на ваш вопрос.
2. Вы всё время тут пишете слово "жесткая" иерархия видимо подразумевая что где то рядом есть мягкая или не совсем жёсткая иерархия - посмотрите пожалуйста существующие модели доверия в PKI и как они называются общепринято, иначе мы тут все в терминологии запутаемся. Повторяю - 63-ФЗ про кроссы ни где не пишет даже опосредовано и 63-ФЗ такие отношения не касаются и не описаны. Моё предложение - давайте мух от котлет отделим - где то что работает в рамках 63-ФЗ, а где нечто иное с кроссами и т.д.
3. Я уже тут приводил вам обоснование, что кроссы вываливаются из норм 63-ФЗ, соответственно обсуждать какую то там статью не подкреплённую НПА совершенно бессмысленно.

Алексей, согласен. Однако подчеркнутую Вами фразу буквоеды поймут либо как 1) отсутствие ограничений на возможность выстроить хоть сколько уровней иерахии внутри организации/корпорации/ведомства, либо как 2) один стройный плоский ряд одинаковых аккредитованных УЦ. Достоверно понятно это станет, когда пойдет аккредитация. Точнее немного раньше, т.к. головной уц минкомсвязи должен обзавестись регламентом. Хотя регламент регламенту рознь, достаточно посмотреть на регламент казначейства.... Но, при аккредитации Вашего головного уц предполагается, что специалисты минкомсвязи ознакомятся с его регламентом, в котором Вы напишете, что Ваш ГУЦ будет выдавать сертификаты только подчиненным УЦ и в связи с этим предъявляет к ним нехилые требования, аналогичные процессу аккредитации минкомсвязи. Возможные результаты такого ознакомления хотелось бы знать конечно заранее, чтобы готовиться. Некий FAQ вообще бы как хорошая современная практика... Думаю что очень многие захотят иметь аккредитованную иерархию внутри организации, т.к. имеют её уже сейчас.
Вопрос и такой будет у буквоедов закона: что подчиненные УЦ в организации нельзя считать "полноценно" акредитованными, т.к. в законе по отношению к ним не прописано никакого ГУЦа.... Ну бред ведь, но возможно! Ведь в фразе "функция головного УЦ по отношению к аккредитованным" важно именно слово "функция ГУЦ". Но у нас не любят читать и могут этой функции не увидеть, а наоборот захотят увидеть в этом предложении конструкцию в ДВА уровня и не более....
Насчет того, что введение ГУЦ потребует смены сертификатов по всей цепочке и во всех УЦ без исключения, АБСОЛЮТНО СОГЛАСЕН. Это титанический труд и начнется он 1 июля, ибо до 1 июля он не выполнялся вообще, хотя закон вроде как предполагает переходный период на переорганизацию. У нас ведь отрасль выжидателей - все ждут инноваций от государства. Ну вот 1 июля и будет нам инновация с разрушением построенного.
Абсолютно не согласен с позицией, что переход не потребует затрат. Не потребовала бы затрат именно кроссертификация, но о ней депутаты не позаботились. Поэтому только иерархия, а значит головная боль и провал в работе той же системы госзакупок на месяцы.
Хотя и термин "Головной" тоже необщепринятый, т.е. и к нему можно прикопаться буквоеду. Есть общепринятый термин "Корневой УЦ" или "Root CA".
Давайте посмотрим, конечно, вдруг всё по инновационному безболезненно пойдет!
Суважением.