Come comprendo il processo di verifica del certificato SSL di un computer remoto, il sistema remoto invia il suo certificato 'leaf' e qualsiasi certificato intermedio, ma non il certificato di root. L'esecuzione di questo comando openssl
mostra che il certificato di root non viene inviato dal server remoto:
openssl s_client -showcerts -connect www.stackoverflow.com:443
È quindi responsabilità del cliente verificare che il certificato foglia sia stato effettivamente firmato dal primo certificato intermedio, che il primo intermedio sia stato firmato dal secondo e così via. In definitiva, la firma sull'ultimo certificato fornito dal sistema remoto viene verificata per verificare che sia stata firmata da un certificato di origine che era già considerato affidabile, ovvero già nel 'trust store'.
Quindi ecco la domanda: perché vorresti, come cliente, voler mai conservare un certificato intermedio? L'archivio dei certificati di Windows ha un'area designata per la memorizzazione delle "Autorità di certificazione intermedie". Cosa serve? C'è mai un caso in cui è necessario memorizzare certificati intermedi?