Скажите, пожалуйста, в чем отличие кросс-сертификатов от сертификатов промежуточных удостоверяющих центров с точки зрения их физического устройства и логики обработки программным обеспечением?

Спасибо, есть пара вопросов/уточнений.
1. Возможно глупый вопрос, но что такое ЕЕ-сертификат (в гугле не нашел)?
2. Я не уточнил сразу, но я имел ввиду, чем они отличаются при реализации проверки цепочки сертификатов?

Давайте для начала разберёмся в терминах. Согласно X.509 (11/2008), кросс-сертификат - это (сокращённо) сертификат, владелец и издатель которого являются различными УЦ. Сущность "сертификат промежуточного УЦ" в X.509 отдельно не вводится. Как видим, сертификат промежуточного УЦ - это кросс-сертификат, который в данной цепочке сертификатов находится между другими сертификатами.

Ещё есть существенный момент вытекающий из модели доверия в PKI системе (сетевая/мостовая и иерархическая), а именно, если отозвать кросс-сертификат, но для пользователей (EE) ничего не произойдёт, поскольку логически произошёл событие разрыва отношения двух независимых доменов и более ничего. А вот если головной УЦ отозвал сертификат подчинённого УЦ, то все ЕЕ-сертификаы подчинённого УЦ стали недействительны, до них не получится построить удачно цепочку сертификации.

Предположим, пользователь EE1 доверяет CA1 и проверяет сертификат EE2, которому выдал сертификат CA2. При мостовой схеме кросс-сертификации цепочка будет такой: EE2<-CA2<-BridgeCA<-CA1.

В ПО ЦС, если речь идёт о КриптоПро УЦ, будет отображаться только один сертификат - тот, с которым данный ЦС устанавливался (например, самоподписанный CA2). Сертификаты пользователей подписываются ключом из сертификата CA2, но этот же ключ содержится в кросс-сертификате BridgeCA->CA2. Таким образом, подпись одного и того же сертификат CA2->EE2 может быть проверена либо с помощью самоподписанного сертификата CA2, либо с помощью кросса BridgeCA->CA2.