Инфраструктура PKI

Конечно

По моему опыту, если видишь что-то странное, дорогое и связанное с безопасностью, в 100% случаев оно нужно для сертификации. Типа с этим EJBCA проверяющий просто кивнёт, поставит галочку и пойдёт дальше по чек-листу, а с твоими подходом выкатит дополнительный счёт на $10k за попытку сертификации твоего велосипеда (с негарантированным результатом).

Если делаешь в нетребовательной сфере, то скорее всего и вообще готовые бесплатные решения есть (например, просто хранить секреты можно в Vault, про генерацию не знаю).

Но если это что-нибудь банковское, например, или просто связанное с процессингом карт, то ты не пройдёшь сертификацию с самоделкой. Точнее её сначала придётся отдельно сертифицировать, а это будет сильно дольше и дороже, чем что-то готовое, где разработчик уже прошёл этот путь.

Короче, есть причины. Почитай описание продукта, который критикуешь. Там наверняка не только список фич, но и список сертификаций. И вот цена такая какая есть именно из-за них.

Там не только распределение ответственности, но ещё и возня с развёртыванием и поддержкой этой PKI и бесконечным обучением всех причастных, бесконечными аудитами и проверками, бесконечными юридическими тяжбами и разбирательствами кто выпустил Васе сертификат. Технически сама PKI конечно же ничего не стоит, все затраты на людей вокруг неё.

Да я особо и не критикую ничего.