A CA não precisa estar on-line. No entanto, o certificado público da CA pode apontar para um servidor da Web que tenha listas de revogação. Isso deve estar online.
A maioria das implementações tem uma lista de certificados públicos de CA instalados. Os usuários geralmente podem optar por confiar em um certificado, mesmo sem o certificado público de CA. O servidor da Web fornecerá seu certificado público, se necessário. Dependendo de sua configuração, ele pode enviar um ou mais certificados na cadeia para os certificados públicos da CA. Isso pode incluir o certificado da CA.
Esse mecanismo pode ser usado para outros protocolos baseados em TLS ou nas versões SSL mais antigas. Alguns outros protocolos comuns usando o TLS incluem LDAPS, STMPS e IMAPS. É comum que os servidores dos protocolos base suportem o StartTLS, no qual o TLS é iniciado na porta normal não criptografada.
EDIT: A maioria das CAs distribui os certificados por email ou WebSite. Estes precisam estar online. Não há necessidade de o certificado de assinatura estar em um sistema conectado à Internet. No entanto, é muito mais fácil evitar o Sneakernet e colocá-lo em um sistema conectado à Internet. Isso permite um retorno mais rápido da assinatura com menos intervenção manual. Como vimos, ele permite que a chave de assinatura seja roubada.
Em geral, a chave nunca precisa sair do sistema no qual é usada. Isso se aplica ao longo de toda a cadeia. O importante é proteger a chave, os certificados devem ser publicamente acessíveis para serem úteis. Colocar chaves no armazenamento removível seguro é uma opção, mas não sem seus próprios riscos.
Ter uma senha segura ajuda, mas para as autoridades de certificação que emitem altos volumes de certificados, a senha pode estar acessível a um script de assinatura. Isso facilita a obtenção da chave e da senha.
Manter a chave de assinatura de nível superior off-line e bloqueada em um cofre é possível. Uma chave de segundo nível pode ser usada para assinar certificados e seu certificado é fornecido como um certificado de cadeia. Recuperar-se da perda de uma chave de segundo nível é mais fácil do que recuperar-se da perda da chave de assinatura primária.