Согласно Спецификации подписи XML (3.2.2 "Проверка подписи" ), элемент KeyInfo может быть подписан:
"Примечание. KeyInfo (или его преобразованная версия) может быть подписано с помощью элемента Reference."
Здесь мы можем увидеть пример xml с такой подписью.
Есть ли причины подписывать сертификат отдельно?
Какие риски безопасности он устраняет?